KOHTUJURISTI ETTEPANEK
HENRIK SAUGMANDSGAARD ØE
esitatud 19. detsembril 2019(1)
Kohtuasi C‑311/18
Data Protection Commissioner
versus
Facebook Ireland Limited,
Maximillian Schrems,
menetluses osalesid:
The United States of America,
Electronic Privacy Information Centre,
BSA Business Software Alliance, Inc.,
Digitaleurope
(eelotsusetaotlus, mille on esitanud High Court (kõrge kohus, Iirimaa))
Eelotsusetaotlus – Füüsiliste isikute kaitse isikuandmete töötlemisel – Määrus (EL) 2016/679 – Artikli 2 lõige 2 – Kohaldamisala – Isikuandmete ärilisel eesmärgil edastamine Ameerika Ühendriikidesse – Edastatud andmete töötlemine Ameerika Ühendriikide avaliku sektori asutuste poolt riigi julgeolekuga seotud eesmärkidel – Artikkel 45 – Kolmandates riikides tagatud kaitse taseme piisavuse hindamine – Artikkel 46 – Vastutava töötleja poolt pakutavad asjakohased kaitsemeetmed – Andmekaitse tüüptingimused – Artikli 58 lõige 2 – Järelevalveasutuste pädevus – Otsus 2010/87/EL – Kehtivus – Rakendusotsus (EL) 2016/1250 – „ELi-USA andmekaitseraamistik Privacy Shield“ – Kehtivus – Euroopa Liidu põhiõiguste harta artiklid 7, 8 ja 47
Sisukord
I. Sissejuhatus
II. Õiguslik raamistik
A. Direktiiv 95/46/EÜ
B. GDPR
C. Otsus 2010/87
D. Privacy Shieldi otsus
III. Põhikohtuasi, eelotsuse küsimused ja menetlus Euroopa Kohtus
IV. Analüüs
A. Sissejuhatavad kaalutlused
B. Eelotsusetaotluse vastuvõetavus
1. Direktiivi 95/46 ratione temporis kohaldatavus
2. DPC kahtluste esialgsus
3. Faktilisi asjaolusid ümbritsev ebaselgus
C. Liidu õiguse kohaldatavus isikuandmete ärilisel eesmärgil edastamise korral kolmandasse riiki, kes võib neid töödelda riigi julgeolekuga seotud põhjustel (esimene küsimus)
D. Nõutav kaitsetase andmete edastamisel lepingu tüüptingimuste alusel (kuuenda küsimuse esimene osa)
E. Otsuse 2010/87 kehtivus lähtudes harta artiklitest 7, 8 ja 47 (seitsmes, kaheksas ja üheteistkümnes küsimus)
1. Vastutavatel töötlejatel lasuvad kohustused
2. Järelevalveasutustel lasuvad kohustused
F. Teistele eelotsuse küsimustele vastamise ning Privacy Shieldi otsuse kehtivuse analüüsimise vajaduse puudumine
1. Euroopa Kohtu vastuste mittevajalikkus põhikohtuasja eset silmas pidades
2. Põhjused, mis räägivad vastu DPC-s pooleli oleva menetluse esemest lähtuvale Euroopa Kohtu analüüsile
G. Täiendavad märkused seoses Privacy Shieldi otsuse mõju ja kehtivusega
1. Privacy Shieldi otsuse mõju järelevalveasutuse poolt lepinguliste kaitsemeetmete alusel toimuva andmete edastamise õiguspärasust puudutava kaebuse läbivaatamisele
2. Privacy Shieldi otsuse kehtivus
a) Kaitse piisavuse otsuse analüüsi sisu puudutavad täpsustused
1) Kaitse taseme „sisulist samaväärsust“ hinnata võimaldava võrdluse tingimused
2) Piisava kaitsetaseme tagamise vajadus andmete edastamise faasis
3) Komisjoni ja eelotsusetaotluse esitanud kohtu poolt tuvastatud USA õigust puudutavate faktiliste asjaolude arvessevõtmine
4) „Sisulise samaväärsuse“ standardi ulatus
b) Privacy Shieldi otsuse kehtivus, lähtudes õigusest eraelu puutumatusele ja isikuandmete kaitsele
1) Riivete olemasolu
2) „Seaduses ette nähtud“ riive
3) Põhiõiguste olemuse mittekahjustamine
4) Legitiimne eesmärk
5) Riivete vajalikkus ja proportsionaalsus
c) Privacy Shieldi otsuse kehtivus, mis on seotud õigusega tõhusale õiguskaitsevahendile
1) USA õiguses ette nähtud kohtu poole pöördumise õiguse tõhusus
2) Ombudsmani mehhanismi mõju tõhusa õiguskaitsevahendi õiguse kaitse tasemele
V. Ettepanek
I. Sissejuhatus
1. Kuna ülemaailmsel tasandil isikuandmete kaitset puudutavad ühtsed kaitsemeetmed puuduvad, kaasneb selliste andmete piiriülese liikumisega Euroopa Liidu piires tagatud kaitsetaseme järjepidevuse katkemise oht. Sellise andmete liikumise lihtsustamiseks ja samas selle ohu vähendamiseks on liidu seadusandja kehtestanud kolm mehhanismi, mille kohaselt võib edastada isikuandmeid liidust mõnda kolmandasse riiki.
2. Esiteks võib selline edastamine toimuda otsuse alusel, millega Euroopa Komisjon tuvastab, et asjaomane kolmas riik tagab sinna edastatud andmete „kaitse piisava taseme“(2). Teiseks on sellise otsuse puudumisel edastamine lubatud, kui sellega kaasnevad asjakohased kaitsemeetmed“(3). Need kaitsemeetmed võivad olla kehtestatud andmeeksportija ja andmeimportija vahelise lepinguga, mis sisaldab komisjoni poolt vastu võetud andmekaitse tüüptingimusi. Kolmandaks on GDPRis sätestatud teatud erandid, mille aluseks on eelkõige asjaomase isiku nõusolek, millisel juhul on kolmandasse riiki edastamine võimalik ka kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumise korral(4).
3. High Courti (kõrge kohus, Iirimaa) eelotsuseküsimus on seotud teisena nimetatud mehhanismiga. Täpsemalt puudutab see otsuse 2010/87/EL(5) kehtivust – selle otsusega kehtestas komisjon Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikleid 7, 8 ja 47 silmas pidades lepingu tüüptingimused teatud liiki edastamiste jaoks.
4. See taotlus on esitatud Data Protection Commissioneri (andmekaitsevolinik, Iirimaa, edaspidi „DPC“) ning Facebook Ireland Ltd ja Maximillian Schremsi vahelises vaidluses. Viimane esitas DPC-le kaebuse, mis puudutab tema isikuandmete edastamist Facebook Irelandi poolt Facebook Inc‑ile, kes on tema Ameerika Ühendriikides (edaspidi „USA“) asuv emaettevõtja. DPC leiab, et selle kaebuse lahendamine sõltub sellest, kas otsus 2010/87 on kehtiv. Sellega seoses pöördus ta eelotsusetaotluse esitanud kohtu poole, taotledes, et see esitaks sellekohase küsimuse Euroopa Kohtule.
5. Märgin kohe, et eelotsuse küsimusi analüüsides ei ilmnenud minu meelest ühtki otsuse 2010/87 kehtivust mõjutada võivat asjaolu.
6. Lisaks sellele on eelotsusetaotluse esitanud kohus avaldanud teatud kahtlusi, mis sisuliselt puudutavad USA poolt tagatava kaitse piisavust seoses põhiõiguste riivetega, mis kaasnevad Ameerika luureasutuste tegevusega isikutele, kelle andmed sellesse kolmandasse riiki edastatakse. Kaudselt seatakse nende kahtlustega kahtluse alla hinnang, mille komisjon on sellega seoses andnud rakendusotsuses (EL) 2016/1250(6). Kuigi põhikohtuasja lahendamise seisukohast ei ole Euroopa Kohtul seda küsimust käsitleda vaja ning ma teen seetõttu ettepaneku sellest hoiduda, esitan täiendavalt põhjused, miks selle otsuse kehtivus minu jaoks küsitav on.
7. Kogu oma analüüsi vältel püüan eelkõige tasakaalustada ühelt poolt vajadust näidata üles „mõistlikul määral pragmaatilisust, et võimaldada ülejäänud maailmaga suhtlemist“(7) ning teiselt poolt vajadust jääda kindlaks liidu ja selle liikmesriikide õiguskordades ning eelkõige hartas tunnustatud põhiväärtustele.
II. Õiguslik raamistik
A. Direktiiv 95/46/EÜ
8. Direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta(8) artikli 3 lõikes 2 oli sätestatud:
„Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:
– kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,
[…]“.
9. Selle direktiivi artikli 13 lõige 1 oli sõnastatud järgmiselt:
„Liikmesriigid võivad artikli 6 lõikes 1, artiklis 10, artikli 11 lõikes 1 ja artiklites 12 ja 21 sätestatud kohustuste ja õiguste ulatuse piiramiseks võtta vastu õigusakte, kui sellised piirangud on vajalikud, et kindlustada:
a) riigi julgeolek;
b) riigikaitse;
c) avalik kord;
d) kuritegude või reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;
e) liikmesriigi või [liidu] olulised majanduslikud või rahanduslikud huvid, sealhulgas raha-, eelarve- ja maksuküsimused;
f) jälgimine, kontrollimine ja regulatiivne funktsioon, mis on kas või ajutiselt seotud avaliku võimu teostamisega punktides c, d ja e osutatud juhtudel;
g) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.“
10. Kõnealuse direktiivi artiklis 25 oli sätestatud:
„1. Liikmesriigid sätestavad, et töödeldavate või pärast edastamist töötlemiseks kavandatud isikuandmete edastamine kolmandatesse riikidesse võib toimuda ainult juhul, kui kõnealune kolmas riik tagab andmekaitse piisava taseme, kui käesoleva direktiivi muude sätete kohaselt vastuvõetud siseriiklikest sätetest ei tulene teisiti.
2. Andmekaitse taset kolmandates riikides hinnatakse, pidades silmas kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid; tähelepanu pööratakse eelkõige andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele, päritoluriigile ja lõppsihtriigile, kõnealuses kolmandas riigis kehtivatele nii üldistele kui ka konkreetse sektori õigusnormidele ja kõnealuses riigis järgitavatele ametieeskirjadele ja turvameetmetele.
[…]
6. Komisjon võib leida artikli 31 lõikes 2 sätestatud korras, et kolmas riik tagab kaitse piisava taseme käesoleva artikli lõike 2 tähenduses oma siseriikliku õigusega või endale võetud rahvusvaheliste kohustustega, mis tulenevad eelkõige lõikes 5 osutatud läbirääkimistest, et kaitsta eraelu puutumatust ja üksikisikute põhivabadusi ja -õigusi.
Liikmesriigid võtavad komisjoni otsuse järgimiseks vajalikke meetmeid.“
11. Sama direktiivi artikli 26 lõigetes 2 ja 4 oli sätestatud:
„2. Ilma et see piiraks lõike 1 kohaldamist, võivad liikmesriigid lubada isikuandmete edastamist või edastamistoimingute kogumit kolmandasse riiki, mis ei taga kaitse piisavat taset artikli 25 lõike 2 tähenduses, kui vastutav töötleja esitab piisavad tagatised üksikisikute eraelu puutumatuse ning põhiõiguste ja -vabaduste kaitse ja vastavate õiguste kasutamise kohta; sellised tagatised võivad tuleneda eelkõige asjakohastest lepingutingimustest.
[…]
4. Kui komisjon otsustab […], et teatavad lepingu tüüptingimused pakuvad piisavaid lõikega 2 nõutavaid tagatisi, võtavad liikmesriigid komisjoni otsuse järgimiseks vajalikke meetmeid.“
12. Direktiivi 95/46 artikli 28 lõige 3 oli sõnastatud järgmiselt:
„Igal sellisel ametiasutusel on eelkõige:
[…]
– tõhusad sekkumisvolitused, näiteks avaldada artikli 20 kohaselt arvamust enne töötlemise alustamist ja tagada sellise arvamuse asjakohane avalikustamine, anda korraldus andmete sulgemiseks, kustutamiseks või hävitamiseks, keelata töötlemine ajutiselt või alaliselt, hoiatada vastutavat töötlejat või teha talle märkus või suunata küsimus liikmesriigi parlamenti või teistesse poliitilisse institutsioonidesse,
[…]“.
B. GDPR
13. GDPRi artikli 94 lõike 1 kohaselt tunnistati direktiiv 95/46 kehtetuks alates 25. maist 2018, mil hakati kohaldama GDPRi vastavalt selle artikli 99 lõikele 2.
14. Nimetatud määruse artikli 2 lõikes 2 on sätestatud:
„Käesolevat määrust ei kohaldata, kui
a) isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;
b) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub [ELi] lepingu V jaotise 2. peatüki kohaldamisalasse;
[…]
d) isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.“
15. Kõnealuse määruse artikli 4 lõikes 2 on mõiste „isikuandmete töötlemine“ määratletud järgmiselt: „isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine“.
16. GDPRi artiklis 23 on sätestatud:
„1. Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada
a) riigi julgeolek;
b) riigikaitse;
c) avalik julgeolek;
d) süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;
e) liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi […];
[…]
2. Eelkõige peab lõikes 1 osutatud seadusandlik meede sisaldama asjakohasel juhul konkreetseid sätteid vähemalt järgmise kohta:
a) töötlemise või selle kategooriate eesmärgid;
b) isikuandmete liigid;
c) kehtestatud piirangute ulatus;
d) kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;
e) vastutava töötleja või vastutavate töötlejate kategooriate määratlus;
f) säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki;
g) andmesubjektide õigusi ja vabadusi ähvardavad ohud ning
h) andmesubjektide õigus olla piirangust teavitatud, välja arvatud juhul, kui see võib mõjutada piirangu eesmärki.“
17. Selle määruse artiklis 44 „Edastamise üldpõhimõtted“ on sätestatud:
„Töödeldavate või pärast kolmandale riigile või rahvusvahelisele organisatsioonile edastamist töötlemiseks ette nähtud isikuandmete edastamine toimub ainult juhul, kui vastutav töötleja ja volitatud töötleja on täitnud kooskõlas käesoleva määruse teiste sätetega käesolevas peatükis sätestatud tingimused, sealhulgas juhul, kui kolmas riik või rahvusvaheline organisatsioon saadab isikuandmed edasi muule kolmandale riigile või rahvusvahelisele organisatsioonile. Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada, et käesoleva määrusega tagatud füüsiliste isikute kaitse taset ei kahjustata.“
18. Nimetatud määruse artiklis 45 „Edastamine kaitse piisavuse otsuse alusel“ on sätestatud:
„1. Isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.
2. Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:
a) õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ning selliste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktikast tulenevad nõuded ning andmesubjektide tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;
b) ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja nende täitmise tagamise eest, sealhulgas piisavate täitmise tagamise volituste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ning
c) asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või selle kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.
3. Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. […].
4. Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada käesoleva artikli lõike 3 kohaselt vastu võetud otsuste ja direktiivi [95/46] artikli 25 lõike 6 alusel vastu võetud otsuste toimimist.
5. Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon vastu otsuse, et kolmas riik, territoorium või nimetatud riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab rakendusaktidega käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. […]
6. Komisjon alustab asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.
[…]
9. Otsused, mille komisjon on vastu võtnud direktiivi [95/46] artikli 25 lõike 6 alusel, jäävad jõusse, kuni neid käesoleva artikli lõike 3 või 5 kohaselt vastu võetud komisjoni otsusega muudetakse, need asendatakse või kehtetuks tunnistatakse.“
19. Sama määruse artikkel 46 „Edastamine asjakohaste kaitsemeetmete kohaldamisel“ on sõnastatud järgmiselt:
„1. Artikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.
2. Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma järelevalveasutuselt mingit eriluba taotlemata ette näha:
[…]
c) komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;
[…]
5. Liikmesriigi või järelevalveasutuse poolt direktiivi [95/46] artikli 26 lõike 2 alusel antud load jäävad kehtima, kuni järelevalveasutus neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab. Otsused, mille komisjon on vastu võtnud vastavalt direktiivi [95/46] artikli 26 lõikele 4, jäävad jõusse, kuni neid käesoleva artikli lõike 2 kohaselt vastu võetud komisjoni otsusega vajaduse korral muudetakse, need asendatakse või kehtetuks tunnistatakse.“
20. GDPRi artikli 58 lõigetes 2, 4 ja 5 on sätestatud:
„2. Järelevalveasutusel on järgmised parandusvolitused:
a) hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;
b) teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;
c) anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;
d) anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;
e) anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;
f) kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;
[…]
i) määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest;
j) anda korraldus peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.
[…]
4. Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.
5. Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.“
C. Otsus 2010/87
21. Komisjon on direktiivi 95/46 artikli 26 lõike 4 alusel võtnud vastu kolm otsust, milles leidis, et neis otsustes sätestatud lepingu tüüptingimused on piisavad, et tagada üksikisikute eraelu puutumatus ning põhiõiguste ja -vabaduste kaitse ning ka vastavate õiguste teostamine (edaspidi „tüüptingimusi käsitlevad otsused“)(9).
22. Nende hulgas on otsus 2010/87, mille artiklis 1 on sätestatud, et „[l]isas sätestatud lepingu tüüptingimusi käsitletakse piisavate tagatistena üksikisikute eraelu puutumatuse ning põhiõiguste ja -vabaduste kaitseks ning vastavate õiguste teostamiseks, nagu on nõutud direktiivi [95/46] artikli 26 lõikes 2“.
23. Selle otsuse artiklis 3 on sätestatud:
„Käesolevas otsuses kasutatakse järgmisi mõisteid:
[…]
c) andmeeksportija – vastutav töötleja, kes edastab isikuandmeid;
d) andmeimportija – kolmandas riigis asuv volitatud töötleja, kes nõustub võtma andmeeksportijalt vastu isikuandmeid, mis on mõeldud töötlemiseks pärast edastamist andmeeksportija nimel ja kooskõlas tema juhiste ja käesoleva otsuse tingimustega ning kelle kohta ei kehti piisavat kaitset tagav kolmanda riigi süsteem direktiivi [95/46] artikli 25 lõike 1 tähenduses;
[…]
f) kohaldatav andmekaitseseadus – õigusakt, mis kaitseb üksikisikute põhiõigusi ja -vabadusi ning eriti nende eraelu puutumatuse õigust seoses isikuandmete töötlemisega ning mis on kohaldatav vastutava andmetöötleja suhtes liikmesriigis, kus andmeeksportija asub;
[…]“.
24. Kõnealuse otsuse algse redaktsiooni artikli 4 lõikes 1 oli sätestatud:
„Ilma et see piiraks nende volitusi võtta meetmeid tagamaks vastavust siseriiklikele õigusnormidele, mis on vastu võetud direktiivi [95/46] II, III, V ja VI peatüki kohaselt, võivad liikmesriikide pädevad organid kasutada neil olemasolevaid volitusi keelata või peatada andmete liikumine kolmandatesse riikidesse, et kaitsta üksikisikuid seoses nende isikuandmete töötlemisega juhul, kui:
a) on kindlaks tehtud, et andmeimportija või alamtöötleja kohta kehtiv seadus kehtestab talle nõudeid kalduda kõrvale kohaldatavast andmekaitseseadusest, et kõnealused nõuded lähevad kaugemale direktiivi [95/46] artiklis 13 sätestatud demokraatlikus ühiskonnas vajalikest piirangutest ja et need nõuded võivad tõenäoliselt omada olulist ebasoodsat mõju kohaldatava andmekaitseseaduse ja lepingu tüüptingimustega ettenähtud tagatistele või
b) pädev organ on kindlaks teinud, et andmeimportija või alamtöötleja ei ole järginud lisas sätestatud lepingu tüüptingimusi või
c) on olemas oluline tõenäosus, et lisas esitatud lepingu tüüptingimusi ei järgita ning et jätkuv edastamine looks ähvardava ohu tõsise kahju tekkimiseks andmesubjektidele.“
25. Praeguses redaktsioonis, mis hakkas kehtima pärast otsuse 2010/87 muutmist rakendusotsusega (EL) 2016/2297(10), on otsuse 2010/87 artiklis 4 sätestatud, et „[k]ui liikmesriikide pädevad ametiasutused kasutavad [direktiivi 95/46] artikli 28 lõike 3 kohaseid volitusi, mille tulemusena katkestatakse ajutiselt või alaliselt andmevoogude edastamine kolmandatele riikidele, et tagada üksikisikute kaitse seoses nende isikuandmete töötlemisega, teavitab asjaomane liikmesriik sellest viivitamatult komisjoni, kes edastab teabe teistele liikmesriikidele“.
26. Otsuse 2010/87 lisas sisaldub terve rida lepingu tüüptingimusi. Eelkõige on selles lisas sisalduvas 3. tingimuses „Soodustatud kolmandat isikut käsitlev tingimus“ sätestatud:
„1. Andmesubjekt saab soodustatud kolmanda isikuna andmeeksportija vastu jõustada käesolevat tingimust, 4. tingimuse punkte b–i, 5. tingimuse punkte a–e ja g–j, 6. tingimuse lõikeid 1 ja 2, 7. tingimust, 8. tingimuse lõiget 2 ning 9.–12. tingimust.
2. Andmesubjekt saab andmeeksportija vastu jõustada käesolevat tingimust, 5. tingimuse punkte a–e ja g, 6. tingimust, 7. tingimust, 8. tingimuse lõiget 2 ning 9.–12. tingimust juhul, kui andmeeksportija on teadaolevalt kadunud või on oma seadusjärgse tegevuse lõpetanud, ning välja arvatud juhul, kui õigusjärglane on andmeeksportija kõik juriidilised kohustused üle võtnud lepingu või õigustoimingu alusel, mille tulemusel ta hakkab täitma andmeeksportija õigusi ja kohustusi, mistõttu võib andmesubjekt eespool loetletud tingimusi jõustada nimetatud õigusjärglase vastu.
[…]“.
27. Kõnealuses lisas sõnastatud 4. tingimuses „Andmeeksportija kohustused“ on sätestatud:
„Andmeeksportija nõustub järgnevaga ja kinnitab, et:
a) isikuandmete töötlemine, sealhulgas edastamine, on toimunud ja toimub ka tulevikus kooskõlas kohaldatava andmekaitseseaduse asjaomaste sätetega (ja et vajaduse korral on sellest teavitatud asjaomaseid asutusi liikmesriigis, kus andmeeksportija asub) ega riku asjaomase riigi vastavaid sätteid;
b) ta on juhtinud ja juhib kogu isikuandmete töötlemise teenuse osutamise kestel andmeimportija tähelepanu sellele, et viimati nimetatud töötleks edastatud isikuandmeid üksnes andmeeksportija nimel ja kooskõlas kohaldatava andmekaitseseaduse ja käesolevate tingimustega;
c) andmeimportija annab piisavad tagatised seoses käesoleva lepingu 2. liites sätestatud tehniliste ja organisatsiooniliste turvameetmetega;
d) pärast kohaldatava andmekaitseseaduse nõuete hindamist võetakse asjakohased turvameetmed, et kaitsta isikuandmeid juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, volitamata avalikustamise või juurdepääsu eest, eelkõige juhul, kui töötlemine hõlmab andmete edastamist võrgu kaudu, ning igasuguse muu võimaliku ebaseadusliku töötlemise eest, ja et need meetmed tagavad turvataseme, mis vastab töötlemisel tekkivatele riskidele ja kaitsealuste andmete olemusele, võttes arvesse tehnika taset ning meetmete rakendamise maksumust;
e) ta tagab turvameetmete järgimise;
f) kui edastatakse eriliiki kuuluvaid andmeid, on andmesubjekti teavitatud või seda tehakse kas enne või võimalikult kiiresti pärast edastamist asjaolust, et tema andmed võidakse edastada kolmandasse riiki, milles ei kehti piisavat kaitset tagav süsteem direktiivi [95/46] tähenduses;
g) et ta edastab vastavalt 5. tingimuse punktile b ja 8. tingimuse lõikele 3 kõik andmeimportijalt ja kõigilt alamtöötlejatelt saadud teated andmekaitseasutusele, kui andmeeksportija otsustab edastamist jätkata või tühistada andmete edastamise peatamise;
h) ta annab andmesubjektidele nende taotlusel koopia tingimustest, välja arvatud 2. liide. Samuti on andmesubjektil õigus saada koopia kõigist alamtöötluslepingutest, mis tuleb sõlmida vastavalt käesolevatele tingimustele. Juhul, kui tingimused või leping sisaldab äriteavet, võib andmeeksportija sellise teabe eemaldada;
i) alamtöötlus toimub vastavalt 11. tingimusele ning seda teeb alamtöötleja, kes tagab isikuandmete ja andmesubjekti õiguste kaitse vähemalt samal tasemel kui käesolevate tingimuste kohaselt peab tagama andmeimportija ning
j) ta tagab 4. tingimuse punktide a–i täitmise.“
28. Nimetatud lisas sätestatud 5. tingimus „Andmeimportija kohustused (1)“ on sõnastatud järgmiselt:
„Andmeimportija nõustub järgnevaga ja kinnitab, et:
a) ta töötleb isikuandmeid üksnes andmeeksportija nimel ning kooskõlas tema juhiste ja tingimustega. Kui ta ei suuda sellist kooskõla ükskõik millistel põhjustel tagada, nõustub ta sellest viivitamata teatama andmeeksportijale, kellel on sellisel juhul õigus andmete edastamine peatada ja/või leping lõpetada;
b) tal ei ole põhjust uskuda, et tema suhtes kohaldatav õigus takistaks tal täita andmeeksportijalt saadud suuniseid ja importijale lepingust tulenevaid kohustusi ning et asjaomastes õigusaktides tehtavate selliste muudatuste korral, mis tõenäoliselt mõjutavad tingimustest tulenevaid tagatisi ja kohustusi negatiivselt, teatab ta muudatustest teada saades neist viivitamata andmeeksportijale, kellel on sellisel juhul õigus andmete edastamine peatada ja/või leping lõpetada;
c) ta on enne edastatud isikuandmete töötlemist rakendanud 2. liites sätestatud tehnilised ja organisatsioonilised turvameetmed;
d) ta teatab andmeeksportijale viivitamata järgmistest asjaoludest:
i) õiguskaitseorganite õiguslikult siduvad taotlused isikuandmete avaldamiseks, välja arvatud taotluste avaldamise keelu korral, mis tuleneb näiteks kriminaalõigusest ja mille eesmärk on kaitsta õiguskaitsealase uurimistoimingu konfidentsiaalsust;
ii) juhusliku ja volitamata juurdepääsu juhtumid ning
iii) otse andmesubjektidelt saadud taotlused, millele ta ei vasta, välja arvatud juhul, kui talle on antud õigus sellistele taotlustele vastata;
e) ta tegeleb kiiresti ja korrektselt andmeeksportija kõigi päringutega, mis seonduvad viimati nimetatu edastatavate isikuandmete töötlemisega ja peab kinni järelevalveasutuse nõuannetest edastatavate andmete töötlemise kohta;
f) ta esitab andmeeksportija taotlusel oma andmetöötlusvahendid tingimustega reguleeritud töötlustoimingute auditeerimiseks, mille korraldab andmeeksportija või andmeeksportija poolt ja vajaduse korral kokkuleppel järelevalveasutusega valitud kontrolliasutus, mis koosneb sõltumatutest liikmetest, kellel on nõutavad ametioskused ja kellel lasub vaikimiskohustus;
[…]“.
29. Otsuse 2010/87 lisas sisalduvas 5. tingimuses viidatud 1. joonealuses märkuses on märgitud:
„Andmeimportija kohta kehtivate siseriiklike õigusaktide kohustuslikud nõuded, mis ei lähe kaugemale demokraatlikus ühiskonnas vajalikest eranditest ja piirangutest direktiivi [95/46] artikli 13 lõikes 1 loetletud huvide alusel, ei ole lepingu tüüptingimustega vastuolus, kui nad sätestavad vajaliku meetme, et tagada riigi julgeolek ja riigikaitse, avalik kord, kuritegude või reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine, riigi oluline majanduslik või rahanduslik huvi või andmesubjekti kaitse või teiste isikute vabaduste ja õiguste kaitse. Mõned näited sellistest kohustuslikest nõuetest, mis ei lähe kaugemale demokraatlikus ühiskonnas vajalikest eranditest ja piirangutest, on muu hulgas rahvusvaheliselt tunnustatud sanktsioonid, maksualased aruandekohustused ja rahapesuvastased aruandekohustused.“
30. Selles lisas sisalduv 6. tingimus „Vastutus“ on sõnastatud järgmiselt:
„1. Pooled lepivad kokku, et kõigil andmesubjektidel, kes on kandnud kahju ükskõik millise poole või alamtöötleja poolt toimepandud 3. või 11. tingimuse mis tahes rikkumise tulemusena, on õigus saada kantud kahju eest hüvitist andmeeksportijalt.
2. Kui andmesubjektil ei ole võimalik nõuda andmeimportija või tema alamtöötleja poolt toimepandud 3. või 11. tingimuses viidatud kohustuste mis tahes rikkumisega seotud ja käesoleva tingimuse lõikes 1 nimetatud hüvitist andmeeksportijalt, kuna andmeeksportija on teadaolevalt kadunud või on oma seadusjärgse tegevuse lõpetanud või on maksejõuetuks muutunud, nõustub andmeimportija, et andmesubjekt võib nõuda hüvitist temalt kui andmeeksportija asendajalt, välja arvatud juhul, kui õigusjärglane on andmeeksportija kõik juriidilised kohustused üle võtnud lepingu või õigustoimingu alusel, mistõttu võib andmesubjekt oma õigusi jõustada nimetatud õigusjärglase vastu.
[…]“.
31. Kõnealuses lisas sisalduvas 7. tingimuses „Lepitamine ja jurisdiktsioon“ on sätestatud:
„1. Andmeimportija nõustub, et kui andmesubjekt kohaldab tema suhtes soodustatud kolmanda isiku õigusi ja/või nõuab käesolevate tingimuste alusel hüvitist tekitatud kahju eest, austab andmeimportija andmesubjekti otsust:
a) lahendada vaidlus lepitamise teel, mida vahendab sõltumatu isik või vajaduse korral järelevalveasutus;
b) esitada hagi andmeeksportija asukohaks oleva liikmesriigi kohtule.
2. Pooled lepivad kokku, et andmesubjekti valik ei piira tema materiaal- või menetlusõigusi, mis lubavad tal otsida lahendusi kooskõlas riikliku ja rahvusvahelise õiguse muude sätetega.“
32. Sama lisa 9. tingimuses „Kohaldatav õigus“ on sätestatud, et tingimusi reguleeritakse selle liikmesriigi õigusega, kus andmeeksportija asub.
D. Privacy Shieldi otsus
33. Komisjon on direktiivi 95/46 artikli 25 lõike 6 alusel üksteise järel vastu võtnud kaks otsust, millega ta tuvastas, et USA tagab isikuandmete kaitse piisava taseme nende isikuandmete puhul, mis edastatakse sellistele USAs asuvatele ettevõtjatele, kes on omapoolse kinnitamise menetluse käigus ise kinnitanud, et järgivad neis otsustes sätestatud põhimõtteid.
34. Esiteks võttis komisjon vastu otsuse 2000/520/EÜ piisava kaitse kohta, mis on ette nähtud programmi Safe Harbor põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on välja andnud [USA] kaubandusministeerium(11). 6. oktoobri 2015. aasta kohtuotsusega Schrems(12) tunnistas Euroopa Kohus selle otsuse kehtetuks.
35. Teiseks võttis komisjon pärast seda kohtuotsust vastu Privacy Shieldi otsuse.
36. Selle otsuse artiklis 1 on sätestatud:
„1. Ameerika Ühendriigid tagavad ELi-USA andmekaitseraamistiku Privacy Shield alusel [direktiivi 95/46] artikli 25 lõike 2 tähenduses piisava kaitsetaseme isikuandmetele, mis edastatakse liidust Ameerika Ühendriikides asuvatele organisatsioonidele.
2. ELi-USA andmekaitseraamistik Privacy Shield koosneb 7. juulil 2016 Ameerika Ühendriikide kaubandusministeeriumi poolt välja antud põhimõtetest, mis on esitatud II lisas, ning ametlikest kinnitustest ja kohustustest, mis on esitatud I ja III–VII lisas loetletud dokumentides.
3. Lõike 1 kohaldamisel edastatakse isikuandmed ELi-USA andmekaitseraamistiku Privacy Shield raames juhul, kui need edastatakse liidust Ameerika Ühendriikides asuvatele organisatsioonidele, mis kuuluvad Privacy Shieldi nimekirja, mida haldab ja mille teeb avalikkusele kättesaadavaks Ameerika Ühendriikide kaubandusministeerium kooskõlas II lisas esitatud põhimõtete I ja III jaoga.“
37. Selle otsuse III A lisas, milleks on ühele toonase Secretary of State (riigisekretär, USA) John Kerry 7. juuli 2016. aasta kirjale lisatud dokument „ELi-USA andmekaitseraamistiku Privacy Shield ombudsmani mehhanism Signaaliluure kohta“, sisaldub memorandum, kus kirjeldatakse uut riigisekretäri määratud rahvusvahelise infotehnoloogiaalase diplomaatia vanemkoordinaatori (edaspidi „ombudsman“) poolt läbi viidavat vahendusmenetlust.
38. Selle memorandumi kohaselt luuakse see menetlus selleks, et „hõlbustada taotluste menetlemist ning vastamist kõnealustele taotlustele, mis käsitlevad riiklike luureteenistuste juurdepääsu andmetele, mida [liidust] edastatakse Ameerika Ühendriikidesse andmekaitseraamistiku Privacy Shield, standardsete lepingupunktide, äriühingute kohta käivate siduvate eeskirjade, „erandite“ või „võimalike tulevaste erandite“ alusel, sammudes väljakujunenud rada pidi kohaldatavate Ameerika Ühendriikide õigusaktide ja poliitikavalikute järgi.“
III. Põhikohtuasi, eelotsuse küsimused ja menetlus Euroopa Kohtus
39. Austrias elav Austria kodanik M. Schrems on sotsiaalvõrgustiku Facebook kasutaja. Kõik selle sotsiaalvõrgustiku kasutajad, kes elavad liidu territooriumil, peavad registreerumisel sõlmima lepingu Facebook Irelandiga, mis on USAs asuva Facebook Inc. tütarettevõtja. Nende kasutajate isikuandmed edastatakse kas täielikult või osaliselt USAs asuvatesse Facebook Inc-ile kuuluvatesse serveritesse, kus neid töödeldakse.
40. M. Schrems esitas 25. juunil 2013 DPC-le kaebuse, millega taotles sisuliselt seda, et viimane keelaks Facebook Irelandil teda puudutavate isikuandmete edastamise USAsse. Ta leidis kaebuses, et nimetatud kolmandas riigis kehtiv õigus ja tavad ei taga selle riigi territooriumil säilitatavate isikuandmete piisavat kaitset ametiasutustepoolse jälgimise vastu. M. Schrems viitas seejuures Edward Snowdeni poolt avaldatule, mis puudutas USA luureteenistuste ja eelkõige National Security Agency (NSA) (Riiklik Julgeolekuagentuur, USA) tegevust.
41. See kaebus jäeti rahuldamata eelkõige põhjusel, et kõiki USAs tagatava kaitse piisavusega seotud küsimusi tuli lahendada vastavalt Safe Harbori otsusele. Selles otsuses oli komisjon tuvastanud, et nimetatud kolmas riik pakub piisaval tasemel kaitset neile isikuandmetele, mis on edastatud selle riigi territooriumil asuvatele ettevõtjatele, kes on ise võtnud kohustuse selles otsuses sätestatud põhimõtteid järgida.
42. M. Schrems esitas kaebuse rahuldamata jätmise otsuse peale kaebuse High Courtile (kõrge kohus). See kohus leidis, et kuigi M. Schrems formaalselt Safe Harbori otsuse kehtivust ei vaidlustanud, leidis ta tegelikult oma kaebuses, et selle otsusega kehtestatud regulatsioon ei ole õiguspärane. Neil asjaoludel esitas nimetatud kohus Euroopa Kohtule küsimused sisuliselt eesmärgiga saada teada, kas kolmandasse riiki edastatud isikuandmete töötlemisega seotud isiku õiguste ja vabaduste kaitset puudutava kaebuse saamise korral on andmekaitse eest vastutavate liikmesriikide asutuste (edaspidi „järelevalveasutused“) jaoks siduv komisjoni poolt direktiivi 95/46 artikli 25 lõike 6 alusel tuvastatu, mis puudutab selle kolmanda riigi poolt pakutava kaitse taseme piisavust, kui kaebaja tuvastatuga ei nõustu.
43. Olles kohtuotsuse Schrems punktides 51 ja 52 leidnud, et kaitse piisavuse otsus on järelevalveasutustele siduv, kuni seda ei ole kehtetuks tunnistatud, märkis Euroopa Kohus selle kohtuotsuse punktides 63 ja 65 järgmist:
„63. […] [K]ui isik, kelle isikuandmed on edastatud või võidakse edastada kolmandasse riiki, mida on nimetatud direktiivi 95/46 artikli 25 lõike 6 alusel komisjoni tehtud otsuses, esitab liikmesriigi järelevalveasutusele avalduse oma õiguste ja vabaduste kaitse kohta seoses nende andmete töötlemisega ning vaidlustab selles avalduses – nagu põhikohtuasjas – komisjoni otsuse kooskõla üksikisikute eraelu ning põhiõiguste ja -vabaduste kaitsega, on kõnealune asutus kohustatud avalduse nõutava hoolsusega läbi vaatama.
[…]
65. […] [J]uhul kui järelevalveasutus peab põhjendatuks selle isiku esitatud väiteid, […] peab liikmesriigi järelevalveasutusel vastavalt direktiivi 95/46 artikli 28 lõike 3 esimese lõigu kolmandale taandele, tõlgendatuna eelkõige harta artikli 8 lõike 3 alusel, olema võimalik osaleda kohtumenetlustes. Sellega seoses on liikmesriigi seadusandja kohustatud ette nägema õiguskaitsevahendid, mis võimaldavad järelevalveasutusel esitada siseriiklikes kohtutes väiteid, mida ta peab põhjendatuks, selleks et kohtud juhul, kui neil on komisjoni otsuse kehtivuse suhtes samasugused kahtlused, esitaksid eelotsusetaotluse kõnealuse otsuse kehtivuse analüüsimiseks.“
44. Euroopa Kohus analüüsis nimetatud kohtuotsuses ka programmi Safe Harbor käsitleva otsuse kehtivust lähtudes nõuetest, mis tulenevad direktiivist 95/46 koosmõjus hartaga. Selle analüüsi tulemusena tunnistas Euroopa Kohus nimetatud otsuse kehtetuks(13).
45. Pärast kohtuotsuse Schrems tegemist tühistas eelotsusetaotluse esitanud kohus otsuse, millega DPC jättis M. Schremsi kaebuse rahuldamata, ning saatis selle DPC-le uueks läbivaatamiseks. Viimane alustas menetlust ning palus M. Schremsil oma kaebus Safe Harbori otsuse kehtetuks tunnistamist silmas pidades ümber sõnastada.
46. Selleks palus M. Schrems Facebook Irelandil ära näidata, millisel õiguslikul alusel toimub sotsiaalvõrgustiku Facebook kasutajate isikuandmete edastamine liidust USAsse. Facebook Ireland ei näidanud ära kõiki õiguslikke aluseid, millele ta tugineb, vaid viitas tema ja Facebook Inc-i vahel sõlmitud ja 20. novembrist 2015 kohaldamisele kuuluvale andmete edastamise ja töötlemise kokkuleppele (data transfer processing agreement) ning tugines otsusele 2010/87.
47. Ümbersõnastatud kaebuses leidis M. Schrems esiteks, et selles kokkuleppes sisalduvad tingimused ei ole kooskõlas otsuse 2010/87 lisas sisalduvate lepingu tüüptingimustega. Teiseks väidab M. Schrems, et nende lepingu tüüptingimuste alusel ei saaks ühelgi juhul tema isikuandmeid USAsse edastada. Seda seetõttu, et USA õiguse kohaselt on Facebookil kohustus teha kasutajate isikuandmed Ameerika asutustele nagu NSA ja Federal Bureau of Investigation (FBI) (Föderaalne Juurdlusbüroo, USA) kättesaadavaks selliste jälgimisprogrammide raames, mis rikuvad harta artiklitega 7, 8 ja 47 tagatud õigusi. M. Schrems väidab, et asjaomastel isikutel ei ole ühegi õiguskaitsevahendiga võimalik kaitsta oma õigusi eraelu puutumatusele ja isikuandmete kaitsele. Neil asjaoludel taotleb M. Schrems DPC-lt andmete edastamise peatamist vastavalt otsuse 2010/87 artiklile 4.
48. Facebook Ireland tunnistas DPC menetluses, et jätkab liidus elavate sotsiaalvõrgustiku Facebook kasutajate isikuandmete edastamist USAsse ning tugineb seejuures suures osas otsuse 2010/87 lisas sisalduvatele lepingu tüüptingimustele.
49. DPC menetluse eesmärk oli kindlaks teha esiteks see, kas USA tagab liidu kodanike isikuandmete piisava kaitse ning teiseks, kui see nõnda ei ole, siis kas tüüptingimusi käsitlevad otsused on põhiõiguste ja ‑vabaduste kaitse seisukohast piisavateks kaitsemeetmeteks.
50. DPC otsuse eelnõus (draft decision) asuti seejuures esialgu seisukohale, et Ameerika õiguses ei ole harta artikli 47 tähenduses tõhusat õiguskaitsevahendit neile liidu kodanikele, kelle andmed on edastatud USAsse, kus on oht, et Ameerika agentuurid töötlevad neid riigi julgeolekuga seotud eesmärkidel harta artiklitega 7 ja 8 vastuolus oleval moel. Tüüptingimusi käsitlevate otsuste lisades sisalduvates tingimustes sätestatud kaitsemeetmed seda lünka ei täida, kuna need ei ole siduvad USA asutustele ega agentuuridele ning asjaomastele isikutele annavad need üksnes lepingust tulenevad õigused andmeeksportija ja/või ‑importija vastu.
51. Neil asjaoludel leidis DPC, et ta saab M. Schremsi kaebuse kohta otsuse teha alles pärast seda, kui Euroopa Kohus on analüüsinud tüüptingimusi käsitlevate ostuste kehtivust. Lähtudes kohtuotsuse Schrems punktis 65 märgitust, algatas DPC seetõttu eelotsusetaotluse esitanud kohtus menetluse, et viimane, kui ta DPC kahtlusi jagab, esitaks nende otsuste kehtivuse kohta Euroopa Kohtule eelotsusetaotluse.
52. Eelotsusetaotluse esitanud kohtus lubati menetlusse astuda USA valitsusel, Electronic Privacy Information Centre’il (EPIC), Business Software Alliance’il (BSA) ning Digitaleurope’il.
53. Tegemaks kindlaks, kas ta jagab DPC poolt seoses tüüptingimusi käsitlevate otsuste kehtivusega väljendatud kahtlusi, kogus High Court (kõrge kohus) vaidluse poolte esitatud tõendid ning kuulas ära viimaste ning menetlusse astujate esitatud argumendid. Eelkõige esitasid eksperdid tõendeid USA õiguse sätete kohta. Iiri õiguses käsitletakse välisriigi õigust faktilise asjaoluna, mis tuleb tõenditega tõendada samamoodi nagu iga muu faktiline asjaolu. Eelotsusetaotluse esitanud kohus hindas nende tõendite põhjal USA õiguse sätteid, mis valitsusasutuste ja -agentuuride poolset jälgimist lubasid, kahe avalikult tunnustatud jälgimisprogrammi („PRISM“ ja „Upstream“) toimimist, erinevaid õiguskaitsevahendeid, mida saavad kasutada isikud, kelle õigusi nende jälgimistoimingutega rikutud on ning süsteemseid kaitsemeetmeid ja kontrollimehhanisme. Selle hindamise tulemust kajastas nimetatud kohus 3. oktoobri 2017. aasta kohtuotsuses, mis on lisatud eelotsusetaotlusele (edaspidi „High Courti (kõrge kohus) 3. oktoobri 2017. aasta kohtuotsus“).
54. Selles kohtuotsuses viitas eelotsusetaotluse esitanud kohus Ameerika luureteenistuste poolt välismaa sõnumite pealtkuulamist ja -vaatamist lubavate õiguslike aluste hulgas välisluure jälgimise seaduse (Foreign Intelligence Surveillance Act (FISA)) artiklile 702 ning presidendi dekreedile nr 12333 (Executive Order 12333, edaspidi „EO 12333“).
55. Selles kohtuotsuses tuvastatu kohaselt lubab FISA artikkel 702 USA peaprokuröril (Attorney General) ning riigi luuredirektoril (Director of National Intelligence (DNI)) anda välisluureteabe hankimise eesmärgil kuni üheks aastaks loa jälgida isikuid, kes ei ole Ameerika kodanikud ja kes ei ela püsivalt USAs (n‑ö „USA-välised isikud“), kui on mõistlik põhjus arvata, et nad viibivad väljaspool USA territooriumit(14). FISA kohaselt peetakse mõiste „välisluureteave“ all silmas teavet, mis on seotud valitsuse võimekusega tõkestada välisriikide ründeid, terrorismiga, massihävitusrelvade levikuga ning samuti USA välisasjade ajamisega(15).
56. Need aastased load, samuti konkreetsete isikute suhtes jälgimistoimingute tegemist käsitleva suunamiskorra ja kogutud teabe töötlemise korra („minimeerimiskord“)(16) peab heaks kiitma Foreign Intelligence Surveillance Court (FISC) (välisluure järelevalve kohus, USA). Kui teiste FISA sätete alusel teostatava „traditsioonilise“ jälgimise eeldusena peab olema tõendatud, et on „tõenäoline põhjus“ kahtlustada, et jälgitavad isikud kuuluvad võõrvõimu teostajate hulka või on selle agendid, siis FISA artikli 702 alusel teostatavad jälgimistoimingud ei eelda ei sellise „tõenäolise põhjuse“ tõendatust ega FISC heakskiitu jälgimistoimingute tegemiseks konkreetsete isikute suhtes. Lisaks ei kohaldata eelotsusetaotluse esitanud kohtu tuvastatu kohaselt minimeerimismenetlust nende USA-väliste isikute suhtes, kes viibivad väljaspool USAd.
57. Praktikas saadab NSA pärast seda, kui FISC on loa andnud, USAs asutatud elektroonilise side teenuse osutajatele suunised, kus sisalduvad jälgimise alla võetud isikutega seotud otsingukriteeriumid ehk „identimistunnused“ (nagu telefoninumbrid või e-posti aadressid). Seejärel on teenuse osutajad kohustatud edastama NSA-le neile tunnustele vastavad andmed ning hoidma neile saadetud suunistega seotut saladuses. Nad võivad esitada FISC-le kaebuse, taotledes NSA suunise muutmist või tühistamist. FISC otsuse peale võib edasi kaevata Foreign Intelligence Surveillance Court of Review’le (FISCR) (välisluure järelevalve apellatsioonikohus, USA).
58. High Court (kõrge kohus) tuvastas, et FISA artikkel 702 on programmide PRISM ja Upstream õiguslik alus.
59. Programmi PRISM raames peavad elektroonilise side teenuse osutajad tegema NSA-le kättesaadavaks kõik viimase poolt nimetatud identimistunnuse „väljaminevad“ ja „sissetulevad“ sõnumid. Osa neist sõnumitest edastatakse FBI‑le ning Central Intelligence Agency’le (CIA) (Luure Keskagentuur, USA). 2015. aastal jälgiti 94 386 isikut ning 2011. aastal edastati USA valitsusele selle programmi raames enam kui 250 miljoni sõnumi andmed.
60. Programm Upstream põhineb telefoni- ja internetiside edastamiseks kasutatavat tuumvõrku – ehk kaablite, kommutaatorite ja ruuterite võrku – käitavate ettevõtjate kaasaaitamiskohustusel. Need ettevõtjad on kohustatud võimaldama NSA-l kopeerida ja filtreerida interneti liiklusvoogusid selleks, et saada kätte selle agentuuri direktiivis mainitud identimistunnuste „väljaminevad“, „sissetulevad“ või „nende kohta käivad“ sõnumid. Identimistunnuse „kohta käiv“ sõnum tähendab sõnumit, milles viidatakse sellele identimistunnusele, ilma et selle identimistunnusega seotud USA-väline isik selle sõnumi edastamises tingimata osaleks. Kuigi FISC 26. aprilli 2017. aasta arvamusest tuleneb, et sellest kuupäevast alates Ameerika valitsus enam identimistunnuste „kohta käivaid“ sõnumeid ei kogu ega saa, ei ilmne sellest arvamusest, et NSA oleks lõpetanud tema jälgimisseadmeid läbiva sõnumiliikluse kopeerimise ja filtreerimise. Programm Upstream hõlmab niisiis NSA juurdepääsu nii metaandmetele kui ka sõnumite sisule. Alates 2011. aastast on NSA programmi Upstream raames kogunud umbes 26,5 miljonit sõnumit aastas, mis on siiski vaid väike osa neist sõnumitest, mis selles programmis ette nähtud filtreerimisprotsessi suunati.
61. High Courti (kõrge kohus) tuvastatu kohaselt lubab EO 12333 pealegi elektrooniliste sõnumite jälgimist väljaspool USA territooriumi, võimaldades välisluurega seotud eesmärkidel tutvuda andmetega, mis on „edastamisel“ Ameerika territooriumile või „läbivad“ Ameerika territooriumi ilma, et oleksid mõeldud seal töötlemiseks, ning samuti neid andmeid koguda ja säilitada. Mõiste „välisluureteave“ on EO 12333-s määratletud selliselt, et see hõlmab välisriikide valitsuste, välismaa organisatsioonide või välismaa isikute võimekusi, kavatsusi või tegevust puudutavat teavet(17).
62. EO 12333 annab NSA-le õiguse juurdepääsuks Atlandi ookeani põhjas olevatele merealustele kaablitele, mille kaudu edastatakse andmeid liidust USAsse, enne kui need andmed USAsse jõuavad ning enne, kui nende suhtes kuuluvad sellest tulenevalt kohaldamisele FISA sätted. Selle presidendi dekreedi alusel mõne programmi rakendamise kohta pole siiski ühtki tõendit.
63. EO 12333-s on sätestatud küll teabe kogumist, säilitamist ja levitamist puudutavad piirangud, ent need ei kohaldu USA-väliste isikute suhtes. Viimati nimetatute jaoks on vaid need kaitsemeetmed, mis on sätestatud presidendi strateegilises suunises nr 28 (Presidential Policy Directive 28, edaspidi „PPD 28“), mis kohaldub igasuguse elektroonilise välisluureteabe kogumise ja kasutamisega seotud toimingute suhtes. PPD 28-s on sätestatud, et üks kaalutlustest, millega selliste tegevuste planeerimisel arvestada tuleb, on eraelu puutumatus, et teabe kogumise eesmärk peab olema üksnes välis- ja vastuluureteabe saamine ning et kõnealused toimingud peavad olema „võimalikult täpselt suunatud“.
64. Eelotsusetaotluse esitanud kohtu väitel ei reguleerita seadusega neid NSA toiminguid, mille aluseks on EO 12333, mida USA president võib igal ajal muuta või mille ta võib kehtetuks tunnistada, nende üle ei teostata kohtulikku järelevalvet ning neid ei ole võimalik kohtule esitatava kaebusega vaidlustada.
65. Nende tuvastatud asjaolude pinnalt leidis see kohus, et USA töötleb isikuandmeid massiliselt ja valimatult, mis võib andmesubjektide jaoks luua neile harta artiklitest 7 ja 8 tulenevate õiguste rikkumise ohu.
66. Lisaks märkis nimetatud kohus, et liidu kodanikud ei saa, juhul kui USA asutused nende isikuandmeid õigusvastaselt töötlevad, samamoodi kohtusse pöörduda nagu Ameerika kodanikud. Kõige olulisemaks õigusvastase jälgimise vastaseks kaitsemeetmeks olev USA põhiseaduse neljas parandus ei kohaldu liidu kodanike suhtes, kellel ei ole märkimisväärset vabal tahtel põhinevat sidet USAga. Kuigi viimased saavad kasutada teatud muid õiguskaitsevahendeid, on sellel olulised takistused.
67. Eelkõige on USA põhiseaduse artikli III kohaselt föderaalkohtutesse pöördumiseks nõutav, et isik tõendab enda kaebeõiguse (standing) olemasolu. Kaebeõigus eeldab nimelt seda, et isik näitab ära, et ta kannab tegelikku kahju, mis on esiteks konkreetne ja eristatav ning teiseks kas juba tekkinud või vahetult tekkiv. Viidates muu hulgas Supreme Court of the United States’i (USA ülemkohus) kohtuotsusele Clapper vs. Amnesty International US(18), leiab eelotsusetaotluse esitanud kohus, et praktikas on selle tingimuse täitmine ülemäära raske, pidades eelkõige silmas seda, et puudub igasugune kohustus andmesubjekte nende suhtes teostatud jälgimistoimingutest teavitada(19). Mõnede liidu kodanikele antud õiguskaitsevahendite kasutamiseks on liiati nõutav muude piiravate tingimuste täitmine, nagu varalise kahju tõendamise vajadus. Teatud õiguskaitsevahendite kasutamist takistavad ka luureteenistustele antud puutumatus ja asjaomase teabe salastamine(20).
68. Lisaks sellele märgib High Court (kõrge kohus) ära erinevad luureteenistuste kontrolli- ja järelevalvemehhanismid.
69. Nende hulgas on ühelt poolt FISA artikli 702 alusel rakendatavate programmide FISC-poolse iga-aastase sertifitseerimise mehhanism, mille raames ei kiida FISC siiski heaks üksikuid identimistunnuseid. Lisaks sellele ei toimu mingisugust kohtulikku eelkontrolli EO 12333 alusel toimuva välisluureteabe kogumise üle.
70. Teisalt viitab eelotsusetaotluse esitanud kohus mitmele luuretegevuse kohtuvälisele järelevalvemehhanismile. Eelkõige mainib ta peainspektorite (Inspectors General, USA) rolli, kelle ülesanne on teostada jälgimistoimingute üle järelevalvet iga luureteenistuse sees. Lisaks koostavad igas agentuuris selleks määratud kodanikuvabaduste ja eraelu volinikud (civil liberties or privacy officers) aruandeid eraelu ja kodanikuvabaduste järelevalve nõukogule (Privacy and Civil Liberties Oversight Board (PCLOB)), mis on täitevvõimu-sisene sõltumatu organ. PCLOB koostab regulaarselt aruandeid parlamendikomisjonidele ja presidendile. Asjaomased agentuurid peavad välisluureteabe kogumist puudutavate menetlusnormide rikkumise juhtumitest teavitama eelkõige DNI-d. Neist juhtumitest kantakse ette ka FISC-le. Välisluuretegevuse kontrollimise pädevus on kabineti ja senati luurekomisjonide vahendusel antud ka USA kongressile.
71. High Court (kõrge kohus) rõhutab siiski, et põhimõtteliselt tuleb eristada ühelt poolt norme, mille eesmärk on tagada, et andmed saadakse õiguspäraselt ja et kord saadud andmeid ei kuritarvitataks ning teiselt poolt seda, milliseid õiguskaitsevahendeid on võimalik kasutada nende normide rikkumise korral. Andmesubjektide põhiõiguste kaitse on tagatud vaid siis, kui nad saavad nende normide rikkumise korral kaitsta oma õigusi tõhusate õiguskaitsevahenditega.
72. Neil asjaoludel peab eelotsusetaotluse esitanud kohus põhjendatuks DPC argumente, et Ameerika õiguses kehtestatud piirangud, mis piiravad nende isikute, kelle andmeid on liidust edastatud, õigust tõhusale õiguskaitsevahendile, ei ole kooskõlas harta artikliga 47 tagatud õiguse põhisisuga ning on igal juhul käsitatavad selle õiguse ebaproportsionaalse riivena.
73. High Courti (kõrge kohus) arvates ei väära seda hinnangut asjaolu, et USA on loonud Privacy Shieldi otsuses kirjeldatud ombudsmani mehhanismi. Olles rõhutanud, et seda mehhanismi saavad kasutada liidu kodanikud, kellel on mõistlik alus arvata, et nende andmeid on tüüptingimusi käsitlevate otsuste(21) alusel edastatud, märkis see kohus, et ombudsman ei ole käsitatav kohtuna, mis vastaks harta artikli 47 nõuetele, ja eelkõige ei ole ta täitevvõimust sõltumatu(22). Kõnealune kohus kahtleb ka selles, kas pöördumine ombudsmani poole, kelle otsuste vaidlustamiseks kohtusse pöörduda ei saa, kujutab endast tõhusat õiguskaitsevahendit. Nimelt ei võimalda ombudsmani poole pöördumine isikutel, kelle isikuandmeid on õigusvastaselt kogutud, töödeldud või jagatud, nõuda kahjuliku tagajärje heastamist ega ettekirjutuse tegemist õigusvastase tegevuse lõpetamiseks, kuna ombudsman ei kinnita ega lükka ümber kaebuse esitaja suhtes elektroonilise jälgimise toimingute teostamist.
74. Olles nii väljendanud kahtlusi selles osas, kas Ameerika õiguses ette nähtud kaitsemeetmed vastavad sisuliselt harta artiklitest 7, 8 ja 47 tulenevatele nõuetele, püstitas eelotsusetaotluse esitanud kohus küsimuse, kas lepingute tüüptingimused, mis on sätestatud tüüptingimusi käsitlevates otsustes – mis ei ole sellised, mis oleks Ameerika asutustele siduvad – suudavad asjaomaste isikute põhiõiguste kaitse siiski tagada. See kohus asus seisukohale, et jagab DPC kahtlusi, mis puudutavad nende otsuste kehtivust.
75. Seejuures leidis eelotsusetaotluse esitanud kohus, et iseäranis ei piisa nende kahtluste hajutamiseks direktiivi 95/46 artikli 28 lõikest 3, millele viidatakse otsuse 2010/87 artiklis 4 ning mille kohaselt on järelevalveasutusel volitus selles otsuses sätestatud tüüptingimuste alusel toimuv andmete edastamine peatada või keelata. Lisaks sellele, et selle volituse teostamine saab toimuda vaid kaalutlusõiguse alusel, on eelotsusetaotluse esitanud kohtu jaoks otsuse 2010/87 põhjendust 11 silmas pidades küsitav ka võimalus teostada seda volitust juhul, kui tuvastatud puudused ei ole seotud ühe konkreetse ja erakorralise juhtumiga, vaid on üldist ja süstemaatilist laadi(23). Samuti leiab ta, et järelevalveasutustele selliste puuduste tuvastamise õiguse andmise vastu räägib erinevates liikmesriikides erinevate otsuste tegemise oht.
76. Neil asjaoludel otsustas High Court (kõrge kohus) 4. mai 2018. aasta otsusega(24), mis saabus Euroopa Kohtusse 9. mail 2018, menetluse peatada ning esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„1. Kas olukorras, kus eraõiguslik äriühing edastab kooskõlas [otsusega 2010/87] [liidu] liikmesriigist ärilisel eesmärgil isikuandmeid eraõiguslikule äriühingule kolmandas riigis ja neid andmeid võivad selles kolmandas riigis edaspidi töödelda selle riigi ametiasutused nii riikliku julgeolekuga kui ka avaliku korra tagamise ja selle kolmanda riigi välisasjade ajamisega seotud eesmärkidel, on liidu õigusnormid, sealhulgas harta, selle andmete edastamise suhtes kohaldatavad olenemata ELL artikli 4 lõike 2 sätetest, mis käsitlevad riigi julgeolekut, ja [direktiivi 95/46] artikli 3 lõike 2 esimese taande sätetest, mis käsitlevad avalikku korda, riigikaitset ja riigi julgeolekut?
2. a) Kas selleks, et tuvastada, kas üksikisiku õigusi on rikutud [otsuse 2010/87] kohaselt andmete edastamisega liidust kolmandasse riiki, kus neid võidakse edaspidi töödelda riikliku julgeolekuga seotud eesmärkidel, on direktiivi [95/46] kohaldamisel asjakohane võrdlusalus:
i) harta, EL leping, EL toimimise leping, direktiiv [95/46], [Roomas 4. novembril 1950 allkirjastatud Euroopa inimõiguste ja põhivabaduste kaitse konventsioon (edaspidi „EIÕK“)] (või muu [liidu] õiguse säte) või
ii) ühe või mitme liikmesriigi riigisisesed õigusaktid?
b) Kas juhul, kui asjakohane võrdlusalus on punkt ii, tuleb võrdlusalusesse arvata ka riikliku julgeolekuga seotud tegevus ühes või mitmes liikmesriigis?
3. Kas selleks, et hinnata, kas kolmas riik tagab sellesse riiki edastatud isikuandmete liidu õigusega nõutava kaitse taseme direktiivi [95/46] artikli 26 tähenduses, tuleb lähtuda:
a) selles kolmandas riigis kohaldatavatest normides, mis tulenevad tema riigisisesest õigusest või rahvusvahelistest kohustustest ja praktikast, mille eesmärk on tagada nende normide järgimine, sealhulgas erialastest normidest ja turvameetmetest, mida selles kolmandas riigis täidetakse;
või
b) punktis a viidatud normidest koostoimes selles kolmandas riigis sisse seatud haldus-, reguleerimis- ja täitmispraktikaga ning kohtuväliste kaitsemeetmete, menetluste, protokollide, järelevalvemehhanismide ja õiguskaitsevahenditega?
4. Kas High Courti (kõrge kohus) poolt USA õiguse kohta tuvastatud faktilisi asjaolusid arvestades rikutakse liidust [otsuse 2010/87] kohaselt USAsse isikuandmete edastamise korral isikutele harta artiklitest 7 ja/või 8 tulenevaid õigusi?
5. Kas High Courti (kõrge kohus) poolt USA õiguse kohta tuvastatud faktilisi asjaolusid arvestades on liidust [otsuse 2010/87] kohaselt USAsse isikuandmete edastamise korral:
a) on USAs võimaldatava kaitse tase kooskõlas isikule harta artikliga 47 tagatud õiguse pöörduda kohtusse olemusega, kui on rikutud tema õigust andmete konfidentsiaalsusele?
Kui vastus alapunktile a on jaatav:
b) kas USA riikliku julgeoleku kontekstis on USA õiguses kehtestatud piirangud isiku õigusele kohtusse pöörduda harta artikli 52 tähenduses proportsionaalsed ega lähe kaugemale, kui on demokraatlikus ühiskonnas riikliku julgeoleku eesmärgil vajalik?
6. a) Millisel tasemel tuleb kaitsta isikuandmeid, mis edastatakse kolmandasse riiki vastavalt lepingu tüüptingimustele, mis on vastu võetud kooskõlas komisjoni otsusega [direktiivi 95/46] artikli 26 lõike 4 alusel, arvestades direktiivi sätteid ja eeskätt artikleid 25 ja 26, tõlgendatuna lähtuvalt hartast?
b) Milliseid asjaolusid tuleb arvesse võtta selle hindamisel, kas kolmandasse riiki [otsuse 2010/87] kohaselt edastatavate andmete kaitse tase vastab direktiivi [95/46] ja harta nõuetele?
7. Kas asjaolu, et andmeeksportija ja andmeimportija vahel kehtivad lepingu tüüptingimused ei ole siduvad kolmanda riigi ametiasutustele, kes võivad kohustada andmeimportijat avaldama [otsuses 2010/87] ette nähtud tingimuste kohaselt edastatud isikuandmeid oma julgeolekuteenistustele edasiseks töötlemiseks, välistab selle, et need tingimused pakuvad selliseid piisavaid tagatisi, mis on ette nähtud direktiivi [95/46] artikli 26 lõikes 2?
8. Kas juhul, kui kolmandas riigis asuva andmeimportija suhtes kehtivad jälgimisega seotud normid on [järelevalveasutuse] arvates vastuolus tüüptingimuste otsuse lisas sisalduvate tüüptingimustega või direktiivi [95/46] artiklitega 25 või 26 või hartaga, on [järelevalveasutus] kohustatud kasutama direktiivi [95/46] artikli 28 lõikest 3 tulenevaid sekkumisvolitusi andmevoogude peatamiseks või on nende volituste kasutamine piiratud üksnes erandjuhtudega, võttes arvesse [otsuse 2010/87] põhjendust 11, või saab [järelevalveasutus] oma kaalutlusõiguse alusel otsustada jätta andmevood peatamata?
9. a) Kas [Privacy Shieldi otsus] kujutab endast üldkehtivat, liikmesriikide [järelevalveasutustele] ja kohtutele direktiivi [95/46] artikli 25 lõike 6 tähenduses siduvat järeldust, et USA tagab oma riigisisese õiguse või võetud rahvusvaheliste kohustuste kaudu kaitse piisava taseme direktiivi [95/46] artikli 25 lõike 2 mõttes?
b) Kui ta seda ei taga, siis kuidas on [Privacy Shieldi otsus], kui üldse, asjakohane hinnangu andmisel USAsse [otsuse 2010/87] kohaselt edastatud andmete suhtes võetud kaitsemeetmete piisavuse kohta?
10. Kui võtta arvesse High Courti (kõrge kohus) järeldusi seoses USA õigusega, siis kas [Privacy Shieldi otsuse] [III A lisa] kohaselt andmekaitseraamistiku Privacy Shield ombudsmani määramine koostoimes USAs kehtiva korraga tagab selle, et USA võimaldab isikutele, kelle isikuandmeid [otsuse 2010/87] kohaselt USAsse edastatakse, harta artiklile 47 vastava õiguskaitsevahendi?
11. Kas [otsus 2010/87] rikub harta artikleid 7, 8 või 47?“
77. Oma kirjalikud seisukohad esitasid Euroopa Kohtule DPC, Facebook Ireland, M. Schrems, USA valitsus, EPIC, BSA, Digitaleurope, Iirimaa ning Belgia, Tšehhi, Saksamaa, Madalmaade, Austria, Poola, Portugali ja Ühendkuningriigi valitsus, Euroopa Parlament ning komisjon. DPC, Facebook Ireland, M. Schrems, USA valitsus, EPIC, BSA, Digitaleurope, Iirimaa ning Saksamaa, Prantsuse, Madalmaade, Austria ja Ühendkuningriigi valitsus, parlament, komisjon ja Euroopa Andmekaitsenõukogu (European Data Protection Board, EDPB) võtsid osa kohtuistungist, mis toimus 9. juulil 2019.
IV. Analüüs
A. Sissejuhatavad kaalutlused
78. Pärast seda, kui Euroopa Kohus kohtuotsusega Schrems Safe Harbori otsuse tühistas, jätkus isikuandmete USAsse edastamine muudel õiguslikel alustel. Eelkõige võisid andmeid eksportivad äriühingud sõlmida andmeimportijatega lepinguid, mis sisaldasid komisjoni poolt välja töötatud tüüptingimusi. Need tingimused on õiguslikuks aluseks andmete edastamisel ka mitmesse muusse kolmandasse riiki, kelle kohta ei ole komisjon kaitse piisavuse otsust vastu võtnud(25). Privacy Shieldi otsus võimaldab nüüdsest neil ettevõtjatel, kes on ise kinnitanud, et järgivad selles otsuses sätestatud põhimõtteid, edastada isikuandmeid USAsse ilma muude formaalsusteta.
79. Nagu eelotsusetaotluses sõnaselgelt märgitud ning nagu rõhutasid BSA, Digitaleurope, Iirimaa ning Austria ja Prantsuse valitsus, parlament ja ka komisjon, on High Courtis (kõrge kohus) pooleli oleva kohtuasja lahendamiseks vaja kindlaks teha vaid see, kas otsus, millega komisjon kehtestas M. Schremsi kaebuses nimetatud andmete edastamise aluseks olnud lepingu tüüptingimused ehk otsus 2010/87, on kehtiv(26).
80. Vaidlus sai alguse taotlusest, millega DPC palus eelotsusetaotluse esitanud kohtul esitada Euroopa Kohtule otsuse 2010/87 kehtivust puudutava eelotsuse küsimuse. Selle kohtu sõnul puudutab põhikohtuasi sellise õiguskaitsevahendi kasutamist, mida Euroopa Kohus kohtuotsuse Schrems punktis 65 liikmesriike kehtestama kohustas.
81. Juhin tähelepanu, et selle kohtuotsuse punktis 63 leidis Euroopa Kohus, et järelevalveasutus on kohustatud nõutava hoolsusega läbi vaatama kaebuse, milles isik, kelle isikuandmed võivad olla edastatud sellisesse kolmandasse riiki, mille suhtes on tehtud kaitse piisavuse otsus, vaidlustab selle otsuse kooskõla hartaga tagatud põhiõigustega. Nimetatud kohtuotsuse punkti 65 kohaselt peab see asutus, kui ta peab kaebuses esitatud etteheiteid põhjendatuteks, saama osaleda kohtumenetluses vastavalt direktiivi 95/46 artikli 28 lõike 3 esimese lõigu kolmandale taandele (millele vastab GDPRi artikli 58 lõige 5) koosmõjus harta artikli 8 lõikega 3. Sellega seoses on liikmesriigi seadusandja kohustatud ette nägema õiguskaitsevahendid, mis võimaldavad järelevalveasutusel esitada oma väited siseriiklikes kohtutes, et viimased saaksid, kui nad järelevalveasutuse kahtlustega nõustuvad, esitada kõnealuse otsuse kehtivust puudutava eelotsusetaotluse.
82. Leian eelotsusetaotluse esitanud kohtu eeskujul, et need põhjendused on analoogia alusel kohaldatavad ka siis, kui isik ei sea järelevalveasutusele esitatud kaebuses kahtluse alla mitte kaitse piisavuse otsuse kehtivust, vaid sellise otsuse kehtivuse nagu otsus 2010/87, millega on kehtestatud isikuandmete kolmandatesse riikidesse edastamist puudutavad lepingu tüüptingimused. Vastupidi Saksamaa valitsuse väidetule ei ole oluline, kas need kahtlused vastavad kaebuse esitaja poolt järelevalveasutusele esitatud väidetele või on järelevalveasutus asjaomase otsuse kehtivuse kahtluse alla seadnud omal algatusel. Nimelt kehtivad GDPRi artikli 58 lõikest 5 ja harta artikli 8 lõikest 3 tulenevad nõuded, millele Euroopa Kohtu põhjendused tuginevad, sõltumata sellest, milline on järelevalveasutusele esitatud kaebuses nimetatud andmete edastamise õiguslik alus ning põhjused, miks hakkas see asutus selle kaebuse lahendamisel asjaomase otsuse kehtivuses kahtlema.
83. Seega, kui DPC palus eelotsusetaotluse esitanud kohtul küsida Euroopa Kohtult otsuse 2010/87 kehtivuse kohta, siis tegi ta seda põhjusel, et sellekohased Euroopa Kohtu selgitused näisid talle vajalikud selleks, et lahendada kaebus, milles M. Schrems palus tal kasutada talle direktiivi 95/46 artikli 28 lõike 3 teisest taandest tulenenud – ja praegu talle GDPRi artikli 58 lõike 2 punktist f tulenevat – volitust peatada tema isikuandmete edastamine Facebook Irelandi poolt Facebook Inc-ile.
84. Kuigi põhikohtuasja vaidlus puudutab üksnes otsuse 2010/87 kehtivust abstraktselt, siis selle vaidluse ajendiks olnud DPC-s toimuv menetlus puudutab DPC volitust parandusmeetmete võtmiseks konkreetsel juhul. Teen Euroopa Kohtule ettepaneku piirduda esitatud küsimuste käsitlemisega vaid ulatuses, milles see on vajalik otsuse 2010/87 kehtivuse üle otsustamiseks, kuna eelotsusetaotluse esitanud kohtule tema menetluses oleva kohtuasja lahendamiseks sellest piisab(27).
85. Enne selle otsuse kehtivuse hindamist tuleb tagasi lükata mõned eelotsusetaotluse vastuvõetavuse kohta esitatud vastuväited.
B. Eelotsusetaotluse vastuvõetavus
86. Eelotsusetaotluse vastuvõetavusele on vastu vaieldud erinevatel põhjustel, mis puudutavad peamiselt seda, et eelotsuse küsimustes nimetatud direktiiv 95/46 ei ole ratione temporis kohaldatav (1. jagu), asjaolu, et DPC-s toimuv menetlus ei ole jõudnud piisavalt kaugele, et õigustada eelotsusetaotluse esitamise tarvilikkust (2. jagu) ning eelotsusetaotluse esitanud kohtu kirjeldatud faktilisi asjaolusid jätkuvalt ümbritsevat ebaselgust (3. jagu).
87. Lähtun neile küsimustele vastamisel sellest, et ELTL artikli 267 alusel Euroopa Kohtule esitatud küsimuste asjakohasust eeldatakse. Väljakujunenud kohtupraktika kohaselt võib Euroopa Kohus liikmesriigi kohtu esitatud eelotsusetaotlusele vastamast keelduda vaid siis, kui on ilmne, et taotletaval liidu õigusnormi tõlgendusel puudub igasugune seos põhikohtuasja faktiliste asjaolude või esemega, kui probleem on hüpoteetiline või kui Euroopa Kohtule ei ole teada vajalikke faktilisi või õiguslikke asjaolusid, et anda tarvilik vastus talle esitatud küsimustele(28).
1. Direktiivi 95/46 ratione temporis kohaldatavus
88. Facebook Ireland leiab, et eelotsuse küsimused ei ole vastuvõetavad, kuna neis viidatakse direktiivile 95/46, kuigi see direktiiv tunnistati 25. maist 2018(29) kehtetuks ja asendati GDPRiga.
89. Jagan seisukohta, mille kohaselt tuleb otsuse 2010/87 kehtivust hinnata GDPRi sätetest lähtudes.
90. Selle määruse artikli 94 lõikes 2 on sätestatud, et „[v]iiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena [nimetatud] määrusele“. Mulle näib sellest tulenevat, et otsuses 2010/87 mainitut, et selle õiguslikuks aluseks on direktiivi 95/46 artikli 26 lõige 4, tuleb mõista viitena GDPRi artikli 46 lõike 2 punktile c, mis põhimõtteliselt kordab eelnimetatud sätte sisu(30). Seetõttu tuleb enne GDPRi jõustumist komisjoni poolt direktiivi 95/46 artikli 26 lõike 4 alusel vastu võetud rakendusotsuseid tõlgendada sellest määrusest lähtudes. Nimetatud määrusest lähtudes tuleb vajaduse korral hinnata ka nende kehtivust.
91. Kohtupraktika, mille kohaselt tuleb liidu akti õiguspärasust analüüsida akti vastuvõtmise ajal olemas olnud faktiliste ja õiguslike asjaolude alusel, ei sea seda järeldust kahtluse alla. See kohtupraktika puudutab nimelt liidu akti kehtivuse hindamist, lähtudes selle vastuvõtmise ajal asjasse puutunud faktilistest asjaoludest(31) või selle vastuvõtmist reguleerinud menetlusnormidest(32). Seevastu on Euroopa Kohus korduvalt hinnanud teisese õiguse aktide kehtivust, lähtudes pärast nende aktide vastuvõtmist jõustunud kõrgemalseisvatest materiaalõigusnormidest(33).
92. See, et eelotsuse küsimuste sõnastuses on nimetatud akti, mis ei ole enam ratione temporis kohaldatav, õigustab küll nende küsimuste ümbersõnastamist, ent ei tähenda, et eelotsusetaotlus oleks vastuvõetamatu(34). Nagu DPC ja M. Schrems leiavad, võib eelotsusetaotluse sõnastuses direktiivile 95/46 viitamine pealegi olla selgitatav käesoleva kohtumenetluse ajalise kulgemisega, kuna need küsimused esitati Euroopa Kohtule enne GDPRi jõustumist.
93. Igal juhul on eelotsuse küsimuste analüüsimisel käsitletavates GDPRi sätetes – ehk eelkõige artiklites 45, 46 ja 58 – enamjaolt seda edasi arendades, ja vaid väheste eranditega, üle võetud direktiivi 95/46 artiklite 25, 26 ja 28 sisu. Nende kõnealuste sätete aspektide osas, mis on asjakohased otsuse 2010/87 kehtivuse üle otsustamise seisukohast, ei tundu mulle olevat ühtki põhjust omistada GDPRi sätetele teistsugust ulatust kui on direktiivi 95/46 vastavatel sätetel(35).
2. DPC kahtluste esialgsus
94. Saksamaa valitsuse meelest on eelotsusetaotlus vastuvõetamatu, kuna kohtuotsuse Schrems punktis 65 osutatud õiguskaitsevahendi kasutamine eeldab, et järelevalveasutus on kaebuse esitaja poolt kõnealuse otsuse kehtivuse vaidlustamiseks esitatud väidete osas oma lõpliku seisukoha kujundanud. Käesoleval juhul see nõnda ei ole, kuna DPC väljendas oma kahtlusi selles, kas otsus 2010/87 – mida M. Schrems seejuures ei vaidlusta – on kehtiv, otsuse projektis, mis oli esialgne ega takista Facebook Irelandil ja M. Schremsil täiendavate seisukohtade esitamist.
95. Minu arvates ei muuda DPC väljendatud kahtluste esialgsus eelotsusetaotlust vastuvõetamatuks. Nimelt tuleb eelotsuse küsimuse vastavust vastuvõetavuse kriteeriumidele hinnates lähtuda vaidluse esemest, nagu selle on määratlenud eelotsusetaotluse esitanud kohus(36). Vaidlust pole aga selles, et vaidluse ese puudutab otsuse 2010/87 kehtivust. Eelotsusetaotluses ja sellele lisatud kohtuotsuses märgitu kohaselt leidis see kohus, et DPC kahtlused – olenemata sellest, kas need on esialgsed või lõplikud – on põhjendatud, ning küsis seetõttu Euroopa Kohtult selle otsuse kehtivuse kohta. Neil asjaoludel on Euroopa Kohtu poolt selles küsimuses antav selgitus igasuguse kahtluseta asjakohane selleks, et nimetatud kohus saaks tema menetluses oleva kohtuasja lahendada.
3. Faktilisi asjaolusid ümbritsev ebaselgus
96. Ühendkuningriigi valitsus väidab, et eelotsusetaotluse esitanud kohtu kirjeldatud faktilistes asjaoludes on mitu lünka, mis muudavad eelotsuse küsimuste vastuvõetavuse küsitavaks. See kohus ei ole välja selgitanud, kas M. Schremsi isikuandmed tegelikult USAsse edastati ega seda, et juhul kui see nii oli, siis kas Ameerika ametiasutused neid andmeid kogusid. Samuti ei ole üheselt kindlaks tehtud sellise andmete võimaliku edastamise õiguslikku alust, kuna eelotsusetaotluses on ära märgitud vaid see, et „suur osa“ sotsiaalvõrgustiku Facebook Euroopa kasutajate andmetest edastatakse otsuses 2010/87 sätestatud lepingu tüüptingimuste alusel. Igal juhul ei ole tõendatud, et Facebook Irelandi ja Facebook Inc-i vaheline leping, millele vaidlusaluste andmete edastamise alusena tugineti, täpselt neid tingimusi sisaldab. Saksamaa valitsus vaidlustab eelotsusetaotluse vastuvõetavuse ka põhjusel, et eelotsusetaotluse esitanud kohus ei ole uurinud, kas M. Schrems on vaieldamatult andnud kõnealuste andmete edastamiseks oma nõusoleku, millisel juhul toimus see edastamine kehtivalt direktiivi 95/46 artikli 26 lõike 1 (mille põhisisu on üle võetud GDPRi artikli 49 lõike 1 punktis a) alusel.
97. Need argumendid ei sea kuidagi kahtluse alla eelotsusetaotluse esitamise asjakohasust põhikohtuasja seisukohast. Kuivõrd see põhikohtuasi algas sellest, et DPC kasutas kohtuotsuse Schrems punktis 65 ette nähtud õiguskaitsevahendit, on selle eesmärk see, et liikmesriigi kohus esitaks otsuse 2010/87 kehtivuse kohta eelotsusetaotluse. Saksamaa ja Ühendkuningriigi valitsus ei väida tegelikult mitte üksnes seda, et eelotsuse küsimused ei ole vajalikud selleks, et teha kindlaks, kas see otsus on kehtiv, vaid ka seda, et need ei ole vajalikud selleks, et DPC saaks teha otsuse konkreetselt M. Schremsi kaebuse kohta.
98. Igal juhul ei näi otsuse 2010/87 kehtivust puudutavad eelotsuse küsimused mulle asjakohatud olevat ka põhikohtuasja ajendanud menetluse seisukohast. Nimelt tuvastas eelotsusetaotluse esitanud kohus, et pärast Safe Harbori otsuse tühistamist jätkas Facebook Ireland oma kasutajate andmete edastamist USAsse ning vähemalt osaliselt oli sellise edastamise aluseks otsus 2010/87. Pealegi, kuigi kõigi asjasse puutuvate faktiliste asjaolude tuvastamisel enne ELTL artiklist 267 tuleneva pädevuse teostamist võib olla eeliseid, saab üksnes eelotsusetaotluse esitanud kohus hinnata seda, millises menetlusetapis tal Euroopa Kohtu eelotsust vaja on(37).
99. Eeltoodut arvesse võttes leian, et eelotsusetaotlus on vastuvõetav.
C. Liidu õiguse kohaldatavus isikuandmete ärilisel eesmärgil edastamise korral kolmandasse riiki, kes võib neid töödelda riigi julgeolekuga seotud põhjustel (esimene küsimus)
100. Esimese küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas liidu õigus on kohaldatav liikmesriigis asuva äriühingu poolt kolmandas riigis asuvale äriühingule ärilistel eesmärkidel isikuandmete edastamise suhtes, kui selle kolmanda riigi ametiasutused võivad neid andmeid pärast edastamise alustamist töödelda muu hulgas riigi julgeoleku kaitse eesmärgil.
101. Põhikohtuasja lahendamise seisukohast on see küsimus oluline eeskätt põhjusel, et kui selline edastamine jääb liidu õiguse kohaldamisalast välja, muutuvad kõik käesolevas kohtuasjas otsuse 2010/87 kehtivuse suhtes esitatud vastuväited alusetuks.
102. Nagu ka eelotsusetaotluse esitanud kohus märkis, ei kuulunud direktiivi 95/46 artikli 3 lõike 2 kohaselt selle direktiivi kohaldamisalasse isikuandmete töötlemine riigi julgeolekuga seotud eesmärkidel. GDPRi artikli 2 lõikes 2 on täpsustatud, et eelkõige ei kohaldata seda määrust, kui isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus või kui isikuandmeid töötlevad pädevad asutused avaliku julgeoleku kaitseks. Need sätted peegeldavad ELL artikli 4 lõike 2 kohaselt liikmesriikidele riigi julgeoleku kaitse valdkonnas jäetud pädevust.
103. DPC, M. Schrems, Iiri, Saksamaa, Austria, Belgia, Tšehhi, Madalmaade, Poola ja Portugali valitsus ning parlament ja komisjon leiavad, et need sätted ei hõlma sellist andmete edastamist, mida on silmas peetud M. Schremsi kaebuses, ning seetõttu kuulub see liidu õiguse kohaldamisalasse. Facebook Ireland leiab vastupidist. Ma nõustun esimesena nimetatute seisukohaga.
104. Sellega seoses on oluline rõhutada, et kolmandasse riiki isikuandmete edastamine on iseenesest käsitatav liikmesriigi territooriumil toimuva „töötlemisena“ GDPRi artikli 4 lõike 2 tähenduses(38). Täpsemalt on esimese eelotsuse küsimuse eesmärk kindlaks teha, kas liidu õigus kohaldub sellise töötlemise suhtes, milleks on edastamine iseenesest. See küsimus ei puuduta liidu õiguse kohaldatavust USAsse edastatud andmete Ameerika asutuste poolse, riigi julgeolekuga seotud eesmärkidel toimuva hilisema võimaliku töötlemise suhtes, mis GDPRi kohaldamisalasse ei kuulu(39).
105. Sellest vaatenurgast tuleb selle kindlakstegemiseks, kas liidu õigus asjaomase andmete edastamise suhtes kohaldub, käsitleda vaid toiminguid, mis seisnevad andmete edastamises kui sellises, ilma et oleks tähtis, millisel eesmärgil võivad sihtkohaks oleva kolmanda riigi ametiasutused neid andmeid hiljem töödelda(40).
106. Eelotsusetaotlusest nähtub, et M. Schremsi kaebuses nimetatud edastamine toimus äritegevuse raames. Selle edastamise puhul ei olnud eesmärk see, et Ameerika asutused saaksid asjaomaseid andmeid hiljem töödelda riigi julgeolekuga seotud eesmärkidel.
107. Facebook Irelandi pakutud lähenemine võtaks aga kolmandatesse riikidesse edastamisega seotud GDPRi sätetelt soovitava toime, kuna seda, et äritegevuse raames edastatud andmeid töödeldakse pärast nende edastamist riigi julgeolekuga seotud eesmärkidel, ei saa kunagi välistada.
108. Minu tõlgendust toetab ka GDPRi artikli 45 lõike 2 punkt a. Selles sättes on märgitud, et kaitse piisavuse otsuse vastuvõtmisel võtab komisjon eelkõige arvesse asjaomases kolmandas riigis riigi julgeoleku valdkonda reguleerivaid õigusakte. Sellest võib järeldada, et sihtkohaks oleva kolmanda riigi asutuste poolt riigi julgeoleku kaitsega seotud eesmärgil nende andmete töötlemise võimalus ei jäta liidu õiguse kohaldamisalast välja seda töötlemist, mis seisneb andmete edastamises neisse kolmandatesse riikidesse.
109. Kohtuotsuses Schrems esitatud Euroopa Kohtu põhjendused ja seal võetud seisukohad tuginevad samuti sellele eeldusele. Eelkõige käsitles Euroopa Kohus seal Safe Harbori otsuse kehtivust osas, milles see puudutas isikuandmete edastamist USAsse, kus neid andmeid võidi koguda ja töödelda riigi julgeolekuga seotud eesmärkidel, vastavalt direktiivi 95/46 artikli 25 lõikele 6 koosmõjus hartaga(41).
110. Neid kaalutlusi silmas pidades leian, et liidu õigus on kohaldatav liikmesriigist isikuandmete kolmandasse riiki edastamise suhtes, kui see edastamine toimub äritegevuse raames ning ilma, et oleks oluline, kas selle kolmanda riigi ametiasutused võivad neid andmeid riigi julgeoleku kaitse eesmärgil töödelda.
D. Nõutav kaitsetase andmete edastamisel lepingu tüüptingimuste alusel (kuuenda küsimuse esimene osa)
111. Kuuenda küsimuse esimese osa sõnastusest tulenevalt soovib eelotsusetaotluse esitanud kohus teada, milline asjaomaste isikute põhiõiguste kaitse tase peab olema tagatud selleks, et isikuandmeid võiks kolmandasse riiki edastada vastavalt otsuses 2010/87 sätestatud lepingu tüüptingimustele.
112. Eelotsusetaotluse esitanud kohus rõhutab, et kohtuotsuses Schrems tõlgendas Euroopa Kohus direktiivi 95/46 artikli 25 lõiget 6 (mille põhisisu on korratud GDPRi artikli 45 lõikes 3) osas, milles seal oli sätestatud, et komisjon saab kaitse piisavuse otsuse vastu võtta vaid siis, kui on kindel, et nimetatud kolmas riik tagab piisava kaitse, mis eeldab seda, et komisjon tuvastab, et see riik tagab põhiõiguste ja -vabaduste kaitse taseme, mis on sisuliselt samaväärne sellega, mis on liidus tagatud vastavalt sellele direktiivile, tõlgendatuna lähtuvalt hartast(42).
113. Selles kontekstis palutakse kuuenda eelotsuse küsimuse esimese osaga Euroopa Kohtul kindlaks teha, kas komisjoni poolt direktiivi 95/46 artikli 26 lõike 4 alusel vastu võetud lepingu tüüptingimuste – mis vastavad nüüd GDPRi artikli 46 lõike 2 punktis c mainitud „standardsetele andmekaitseklauslitele“ – kohaldamine peab võimaldama saavutada sellise kaitse taseme, mis vastab sellele samale „sisulise samaväärsuse“ standardile.
114. Selles osas on GDPRi artikli 46 lõikes 1 sätestatud, et kaitse piisavuse otsuse puudumisel võib vastutav töötleja isikuandmeid kolmandasse riiki edastada üksnes „juhul, kui ta on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad“ (kohtujuristi kursiiv)(43). GDPRi artikli 46 lõike 2 punkti c kohaselt võivad need tagatised tuleneda komisjoni poolt välja töötatud standardsetest andmekaitseklauslitest.
115. Leian DPC, M. Schremsi ja Iirimaa eeskujul, et vastutava töötleja poolt võetavad GDPRi artikli 46 lõikes 1 nimetatud „asjakohased kaitsemeetmed“ peavad tagama selle, et isikule, kelle andmeid edastatakse, oleks sama moodi nagu andmete edastamise korral kaitse piisavuse otsuse alusel tagatud selline õiguste kaitse tase, mis on sisuliselt samaväärne sellega, mis tuleneb GDPRist tõlgendatuna lähtuvalt hartast.
116. See järeldus tuleneb selle sätte ning õigusakti, mille osaks see on, eesmärgist.
117. GDPRi artiklite 45 ja 46 eesmärk on kindlustada selle määrusega tagatud isikuandmete kõrgetasemelise kaitse järjepidevus andmete edastamise korral väljapoole liitu. GDPR V peatükk, mis puudutab andmete edastamist kolmandatesse riikidesse, algab nimelt artikliga 44 „Edastamise üldpõhimõtted“, kus on sätestatud, et kõiki selle peatüki sätteid kohaldatakse selleks, et tagada, et andmete kolmandatesse riikidesse edastamisel ei kahjustata GDPRiga tagatud kaitse taset(44). Selle normi eesmärk on vältida liidu õigusest tulenevatest kaitsestandarditest mööda hiilimist seeläbi, et isikuandmed edastatakse kolmandasse riiki selleks, et neid seal töödelda(45). Seda eesmärki silmas pidades ei ole vahet, kas edastamise aluseks on kaitse piisavuse otsus või andmete vastutava töötleja poolt eelkõige lepingutingimuste kaudu pakutavad tagatised. Hartaga tagatud põhiõiguste kaitse nõudeid ei eristata lähtudes sellest, millisel õiguslikul alusel konkreetne edastamine toimub(46).
118. Andmete edastamise õiguslikust alusest sõltuvalt erineb seevastu aga viis, kuidas kõrgetasemelise kaitse järjepidevus tagatakse.
119. Ühelt poolt on kaitse piisavuse otsuse eesmärk tuvastada, et konkreetne kolmas riik tagab ise liidus nõutavaga sisuliselt samaväärse kaitse taseme. Kaitse piisavuse otsuse vastuvõtmine eeldab seda, et komisjon hindab enne GDPRi artikli 45 lõikes 3 sätestatud kriteeriumidest lähtudes konkreetse kolmanda riigi õiguse ja praktikaga tagatava kaitse taset. Siis võib kõnealusesse kolmandasse riiki isikuandmeid edastada ilma, et vastutav töötleja peaks saama selleks eraldi loa.
120. Teiselt poolt, nagu järgnevas jaotises üksikasjalikumalt selgitatud, on vastutava töötleja poolt pakutavate asjakohaste kaitsemeetmete eesmärk tagada kõrgetasemeline kaitse sihtkohaks olevas kolmandas riigis kehtivate tagatiste ebapiisavuse korral. Kuigi GDPRi artikli 46 lõige 1 lubab isikuandmete edastamist kolmandasse riiki, kes piisaval tasemel kaitset ei taga, võimaldab see säte sellist edastamist vaid siis, kui asjakohased kaitsemeetmed võetakse muul moel. Üks üldine mehhanism, mida kohaldatakse edastamise suhtes, sõltumata sihtkohaks olevast kolmandast riigist ja seal tagatud kaitsetasemest, on komisjoni poolt vastu võetud lepingu tüüptingimused.
E. Otsuse 2010/87 kehtivus lähtudes harta artiklitest 7, 8 ja 47 (seitsmes, kaheksas ja üheteistkümnes küsimus)
121. Seitsmenda küsimusega küsib eelotsusetaotluse esitanud kohus sisuliselt, kas otsus 2010/87 on kehtetu seetõttu, et see ei ole siduv selle kolmanda riigi, kuhu otsuse lisas sätestatud lepingu tüüptingimuste alusel andmeid edastatakse, asutustele, ning eelkõige seetõttu, et see ei takista neid nõudmast, et andmeimportija võimaldaks neil nende andmetega tutvuda. Nõnda on selle küsimusega kahtluse alla seatud ainult lepingulist laadi mehhanismi abil andmete piisava kaitse taseme tagamise võimalus kui selline. Üheteistkümnes küsimus puudutab üldisemalt otsuse 2010/87 kehtivust lähtudes harta artiklitest 7, 8 ja 47.
122. Kaheksanda küsimusega palutakse Euroopa Kohtul kindlaks teha, kas järelevalveasutus peab kasutama talle GDPRi artikli 58 lõike 2 punktidest f ja j tulenevaid volitusi ja peatama otsuses 2010/87 sätestatud lepingu tüüptingimuste alusel toimuva andmete edastamise kolmandasse riiki, kui ta leiab, et seal on andmeimportijale pandud kohustused, mis takistavad tal nende tingimuste täitmist ning edastatud andmete asjakohane kaitse ei ole seetõttu tagatud. Kuivõrd sellele küsimusele antav vastus mõjutab minu meelest otsuse 2010/87 kehtivust(47), käsitlen seda koos seitsmenda ja üheteistkümnenda küsimusega.
123. Loogikat, millest lähtudes toimivad sellised lepingulised mehhanismid nagu otsuses 2010/87 sätestatu, selgitab GDPRi artikli 46 lõike 1 sõnastus, kuivõrd seal on sätestatud, et „[a]rtikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile […] üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed […]“ (kohtujuristi kursiiv). Nagu GDPRi põhjendustes 108 ja 114 rõhutatakse, on nende mehhanismide eesmärk andmete edastamise võimaldamine sellistesse kolmandatesse riikidesse, mille kohta komisjon kaitse piisavuse otsust vastu võtnud ei ole ning selle riigi õiguskorras tagatava kaitse võimalik ebapiisavus kompenseeritakse kaitsemeetmetega, mille tagamise kohustuse võtavad andmeeksportija ja ‑importija endale lepinguga.
124. Kuivõrd lepinguliste kaitsemeetmete mõte on kompenseerida võimalikud puudused sihtkohaks oleva kolmanda riigi poolt pakutavas kaitses mis tahes riikide puhul, siis ei saa sellise otsuse, millega komisjon tuvastab, et teatud lepingu tüüptingimused on nende puuduste kompenseerimiseks piisavad, kehtivus sõltuda kaitse tasemest igaühes neist kolmandatest riikidest, kuhu andmeid edastada võidakse. Sellise otsuse kehtivus sõltub ainult sellest, kas neis tüüptingimustes ette nähtud kaitsemeetmed on sobivad selleks, et kompenseerida kaitse võimalikku ebapiisavust sihtkohaks olevas kolmandas riigis. Nende kaitsemeetmete tõhususe hindamisel tuleb arvesse võtta kaitset, mis seisneb järelevalveasutuste volitustes vastavalt GDPRi artikli 58 lõikele 2.
125. Nagu DPC, M. Schrems, BSA, Iiri, Austria, Prantsuse, Poola ja Portugali valitsus ning komisjon sisuliselt märkisid, võib lepingu tüüptingimustes sisalduvate kaitsemeetmete mõju nõrgeneda või lausa olematuks muutuda, kui sihtkohaks oleva riigi õigus paneb andmeimportijatele kohustusi, mis on nende tingimuste kohaselt nõutavaga vastuolus. Nii võib sihtkohaks olevas kolmandas riigis valitsev õiguslik kontekst muuta neis tingimustes sätestatud kohustuse täitmise konkreetse edastamise asjaoludest tulenevalt(48) võimatuks.
126. Neil asjaoludel tugineb GDPRi artikli 46 lõike 2 punktis c sätestatud lepinguline mehhanism, nagu ka M. Schrems ja komisjon rõhutasid, andmeeksportija ning täiendavalt ka järelevalveorganite vastutusele. Iga konkreetse edastamise puhul peab vastutav töötleja, või kui tema seda ei tee, siis järelevalveasutus, üksikjuhtumil põhinevalt hindama, kas sihtkohaks oleva kolmanda riigi õigus takistab tüüptingimuste täitmist ning seeläbi edastatud andmete piisavat kaitset sedavõrd, et andmete edastamine tuleb keelata või see peatada.
127. Neid tähelepanekuid arvesse võttes leian, et asjaolu, et otsus 2010/87 ning seal sätestatud lepingu tüüptingimused ei ole siduvad sihtkohaks olevale kolmandale riigile, ei muuda iseenesest seda otsust kehtetuks. Otsuse 2010/87 kooskõla harta artiklitega 7, 8 ja 47 sõltub minu arvates sellest, kas on olemas piisavalt tugevad mehhanismid, mis võimaldavad tagada, et lepingu tüüptingimuste alusel toimuv edastamine peatatakse või keelatakse nende tingimuste rikkumise või nende täitmise võimatuse korral.
128. Seejuures on GDPRi artikli 46 lõikes 1 sätestatud, et asjakohastel kaitsemeetmetel põhinev andmete edastamine võib toimuda üksnes „tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad“. Kontrollida tuleb seda, kas otsuse 2010/87 lisas toodud tüüptingimustes sätestatud kaitsemeetmed koos järelevalveasutuste pädevusega võimaldavad selle tingimuse täitmist. Minu meelest on see nõnda juhul, kui esineb kohustus – mis lasub vastutavatel töötlejatel (1. jagu) ning nendepoolse kohustuse rikkumise korral järelevalveasutusel (2. jagu) – peatada või keelata andmete edastamine, kui tüüptingimustest tulenevate ja sihtkohaks oleva kolmanda riigi õiguses sätestatud kohustuste kollisiooni tõttu võivad need tüüptingimused täitmata jääda.
1. Vastutavatel töötlejatel lasuvad kohustused
129. Esiteks, otsuse 2010/87 lisas sisalduvate lepingu tüüptingimuste kohaselt on nõutav, et neis sätestatud kohustuste ning sihtkohaks oleva riigi õigusest tulenevate nõuete vahelise kollisiooni korral neile tingimustele sellesse kolmandasse riiki andmete edastamise alusena ei tugineta, või kui andmete edastamist on nende tingimuste alusel juba alustatud, teavitatakse kollisioonist andmeeksportijat ning ta võib andmete edastamise peatada.
130. Vastavalt 5. tingimuse punktile a võtab andmeimportija kohustuse töödelda edastatud isikuandmeid üksnes andmeeksportija nimel ning vastavalt tema juhistele ning lepingu tüüptingimustele. Kui ta ei suuda neid tüüptingimusi täita, nõustub ta sellest viivitamata teatama andmeeksportijale, kellel on sellisel juhul õigus andmete edastamine peatada ja/või leping lõpetada(49).
131. Leheküljel 5 olevas 5. tingimusega seotud joonealuses märkuses on täpsustatud, et tüüptingimuste rikkumisega ei ole tegemist siis, kui andmeimportija täidab talle siseriiklikest õigusaktidest tulenevaid kohustuslikke nõuded, mis ei lähe kaugemale sellest, mis on demokraatlikus ühiskonnas vajalik, et kaitsta direktiivi 95/46 artikli 13 lõikes 1 (mille sisu on põhiliselt üle võetud GDPRi artikli 23 lõikesse 1) loetletud huve, mille hulgas on avalik kord ja riigikaitse. Seevastu käsitatakse nende tingimuste rikkumisena seda, kui need jäetakse täitmata selleks, et täita sellist sihtkohaks oleva kolmanda riigi õigusest tulenevat kollideeruvat kohustust, mis läheb kaugemale, kui on liidu poolt tunnustatud legitiimsete huvide kaitseks proportsionaalne.
132. Minu arvates ei saa, nagu leiavad ka M. Schrems ja komisjon, tõlgendada 5. tingimuse punkti a selliselt, et juhul kui andmeimportija ei suuda tüüptingimusi täita, on andmete edastamise peatamine või lepingu lõpetamine üksnes vabatahtlik. Kuigi selles tingimuses osutatakse vaid andmeeksportija sellekohasele õigusele, tuleb seda sõnastust mõista seda ümbritsevast lepingulisest raamistikust lähtudes. Asjaolu, et kahepoolsetes suhetes andmeimportijaga on andmeeksportijale antud õigus andmete edastamine peatada või leping lõpetada, kui andmeimportijal ei ole võimalik tüüptingimusi täita, ei väära andmeeksportijal lasuvat kohustust nõnda toimida vastavalt andmesubjektidele GDPRist tulenevate õiguste kaitse nõuetele. Mis tahes muu tõlgenduse korral oleks otsus 2010/87 kehtetu, kuna seal sätestatud lepingu tüüptingimused ei võimaldaks siduda andmete edastamist „asjakohaste kaitsemeetmetega“, nagu nõuab GDPRi artikli 46 lõige 1 koosmõjus harta sätetega(50).
133. Lisaks kinnitab andmeimportija 5. tingimuse punkti b kohaselt, et tal ei ole põhjust uskuda, et teda puudutavad õigusaktid takistaksid tal täita andmeeksportija antud suuniseid ning talle lepingust tulenevaid kohustusi. Asjaomastes õigusaktides tehtavate selliste muudatuste korral, millel võib olla oluline negatiivne mõju tüüptingimustest tulenevatele tagatistele ja kohustustele, teatab ta muudatustest teada saades neist viivitamata andmeeksportijale, kellel on sellisel juhul õigus andmete edastamine peatada ja/või leping lõpetada. Vastavalt 4. tingimuse punktile g peab andmeeksportija edastama andmeimportijalt saadud teate pädevale andmekaitseasutusele, kui ta otsustab edastamist jätkata.
134. Mulle tundub, et tuleb teha mõned täpsustused seoses sellega, milles seisneb analüüs, mille lepingupooled peavad läbi viima selleks, et kindlaks teha, kas kolmanda riigi õigusega andmeimportijale pandud kohustused toovad 5. tingimusega seotud joonealust märkust silmas pidades kaasa tüüptingimuste rikkumise ning takistavad sellest tulenevalt andmete edastamist nii, et sellega kaasneksid asjakohased kaitsemeetmed. Sisuliselt kerkis see problemaatika esile kuuenda eelotsuse küsimuse teise osa raames.
135. Selles analüüsis tuleb minu meelest arvesse võtta kõiki iga konkreetset edastamist iseloomustavaid asjaolusid, sealhulgas andmete laadi ja seda, kas tegu on tundlike andmetega, andmete edastamise turvalisuse tagamiseks andmeeksportija ja/või andmeimportija poolt rakendatud mehhanisme(51), kolmanda riigi ametiasutuste poolt nende andmete töötlemise laadi ja eesmärke, sellise töötlemise tingimusi ning selle kolmanda riigi poolt tagatud piiranguid ja kaitsemeetmeid. Ametiasutuste poolt andmete töötlemist iseloomustavate asjaolude ning asjaomase kolmanda riigi õiguskorras kohaldatavate kaitsemeetmete osas võib minu meelest eeskuju võtta GDPRi artikli 45 lõikes 2 sätestatust.
136. Teiseks on otsuse 2010/87 lisas sätestatud lepingu tüüptingimustes sätestatud andmesubjektidele kohtulikult kaitstavad õigused ning andmeeksportija ja täiendavalt ka andmeimportija vastu kasutatavad õiguskaitsevahendid.
137. Nõnda on 3. tingimuse „Soodustatud kolmandat isikut käsitlev tingimus“ lõikes 1 sätestatud andmesubjekti õigus esitada eelkõige 5. tingimuse punktide a või b rikkumise korral nõue andmeeksportija vastu. 3. tingimuse lõike 2 kohaselt võib andmesubjekt, juhul kui andmeeksportija on teadaolevalt kadunud või oma seadusjärgse tegevuse lõpetanud, esitada selle tingimuse alusel nõude andmeimportija vastu.
138. 6. tingimuse lõige 1 annab igale 3. tingimuse rikkumise tulemusena kahju kannatanud andmesubjektile õiguse saada tekkinud kahju eest andmeeksportijalt hüvitist. 7. tingimuse lõike 1 kohaselt nõustub andmeimportija sellega, et kui andmesubjekt kohaldab tema suhtes soodustatud kolmanda isiku õigusi ja/või nõuab käesolevate tingimuste alusel hüvitist tekitatud kahju eest, austab andmeimportija andmesubjekti otsust kas lahendada vaidlus lepitamise teel, mida vahendab sõltumatu isik või vajaduse korral järelevalveasutus, või esitada hagi andmeeksportija asukohaks oleva liikmesriigi kohtule.
139. Lisaks otsuse 2010/87 lisas sätestatud lepingu tüüptingimustes ette nähtud õiguskaitsevahendite kasutamisele võivad andmesubjektid, kui nad leiavad, et neid tingimusi on rikutud, taotleda järelevalveasutuselt parandusmeetmete võtmist vastavalt GDPRi artikli 58 lõikele 2, millele on viidatud otsuse 2010/87 artiklis 4(52).
2. Järelevalveasutustel lasuvad kohustused
140. Järgnevatel põhjustel asun M. Schremsi, Iirimaa ning Saksamaa, Austria, Belgia, Madalmaade ja Portugali valitsuse ning Euroopa Andmekaitsenõukogu eeskujul seisukohale, et GDPRi artikli 58 lõige 2 paneb järelevalveasutustele, kui nad on hoolika uurimise tulemusena leidnud, et kolmandasse riiki edastatud andmed ei ole kokku lepitud lepingutingimuste rikkumise tõttu piisavalt kaitstud, kohustuse võtta asjakohaseid meetmed selle õigusvastase olukorra parandamiseks, andes vajaduse korral korralduse andmete edastamise peatamiseks.
141. Esiteks märgin, et vastupidi DPC väidetule ei tulene ühestki otsuse 2010/87 sättest, et volitusi „kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld“ ning „anda korraldus peatada kolmandas riigis asuvale vastuvõtjale […] suunatud andmevoog“, mis on järelevalveasutustel vastavalt GDPRi artikli 58 lõike 2 punktidele f ja j, saaks teostada üksnes erandjuhtudel.
142. Tõsi on, et otsuse 2010/87 algse redaktsiooni artikli 4 lõike 1 kohaselt oli järelevalveasutustel volitus peatada või keelata piiriülene andmevoog teatud juhtudel, kui on kindlaks tehtud, et lepinguline edastamine võib tõenäoliselt omada olulist ebasoodsat mõju tagatistele, mille eesmärk on andmesubjekti kaitse. Selle otsuse artiklis 4, mida komisjon 2016. aastal muutis, et see oleks kooskõlas kohtuotsusega Schrems(53), nüüdsest üksnes viidatakse neile volitustele, ilma neid kuidagi piiramata. Igal juhul ei saa sellise komisjoni rakendusotsusega nagu otsus 2010/87 kehtivalt piirata volitusi, mis on järelevalveasutustele antud vastavalt GDPRile endale(54).
143. Seda järeldust ei väära otsuse 2010/87 põhjendus 11, kus on märgitud, et andmete edastamise keelamise või peatamise pädevust võivad järelevalveasutused teostada üksnes „erandjuhul“. See põhjendus sisaldus juba selle otsuse esialgses redaktsioonis ning oli seotud selle otsuse artikli 4 lõike 1 vana redaktsiooniga, mis järelevalveasutuste pädevust piiras. Otsuse 2010/87 muutmisel otsusega 2016/2297 ei eemaldanud komisjon seda põhjendust ega muutnud seda nii, et see oleks vastavuses artikli 4 uues redaktsioonis sätestatuga. Otsuse 2016/2297 põhjenduses 5 on siiski kinnitatud, et järelevalveasutustel on pädevus peatada või keelata igasugune andmete edastamine, mida nad peavad liidu õigusega vastuolus olevaks eelkõige põhjusel, et andmeimportija rikub lepingu tüüptingimusi. Osas, milles otsuse 2010/87 põhjendus 11 on sestpeale vastuolus sellega seotud õiguslikult siduva sätte sõnastuse ja eesmärgiga, tuleb seda põhjendust käsitada sisutühjana(55).
144. Teiseks, vastupidi samuti DPC väidetule, ei ole GDPRi artikli 58 lõike 2 punktides f ja j sätestatud peatamise ja keelamise volituste rakendamine lihtsalt üheks võimaluseks, mille kasutamise üle saab järelevalveasutus kaalutlusõiguse alusel otsustada. See järeldus tuleneb minu meelest GDPRi artikli 58 lõike 2 tõlgendamisest lähtudes selle määruse muudest sätetest ja hartast ning otsuse 2010/87 üldisest ülesehitusest ja eesmärkidest.
145. Eelkõige tuleb GDPRi artikli 58 lõiget 2 lugeda harta artikli 8 lõiget 3 ning ELTL artikli 16 lõiget 2 silmas pidades. Vastavalt neile sätetele kontrollivad isikuandmete kaitse põhiõigusega seotud nõuete täitmist sõltumatud asutused. See isikuandmete kaitsega seotud nõuete täitmise üle järelevalve teostamise ülesanne, mida on mainitud ka GDPRi artikli 57 lõike 1 punktis a, hõlmab järelevalveasutuste kohustust tegutseda nii, et selle määruse nõuetekohane kohaldamine oleks tagatud.
146. Nõnda peab järelevalveasutus nõuetekohase hoolikusega läbi vaatama kaebuse, mille on esitanud isik, kelle andmed on väidetavalt kolmandasse riiki edastatud sellise edastamise suhtes kohalduvaid lepingu tüüptingimusi rikkudes(56). GDPRi artikli 58 lõige 1 annab järelevalveasutusele selleks laialdased uurimisvolitused(57).
147. Samuti peab pädev järelevalveasutus kohaselt reageerima oma uurimise tulemusena tuvastatud võimalikele andmesubjekti õiguste rikkumistele. Seejuures on GDPRi artikli 58 lõike 2 kohaselt igale järelevalveasutusele antud talle pandud ülesande täitmiseks hulk erinevaid vahendeid – erinevaid volitusi selles sättes loetletud parandusmeetmete võtmiseks(58).
148. Kuigi kõige tõhusama vahendi valib kaalutlusõiguse alusel ja kõnealuse andmete edastamise kõiki asjaolusid arvesse võttes pädev järelevalveasutus, peab ta täielikult täitma talle pandud järelevalveülesannet. Vajaduse korral peab see asutus andmete edastamise peatama, kui ta leiab, et lepingu tüüptingimusi ei järgita ning et edastatud andmete piisavat kaitset ei ole võimalik tagada muul moel ning andmeeksportija ise andmete edastamist lõpetanud ei ole.
149. Seda tõlgendust toetab GDPRi artikli 58 lõige 4, kus on sätestatud, et järelevalveasutusele selle artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas õigust tõhusale õiguskaitsevahendile vastavalt harta artiklile 47. Liiati tuleneb GDPRi artikli 78 lõigetest 1 ja 2 igaühele õigus pöörduda kohtu poole teda puudutava järelevalveasutuse õiguslikult siduva otsuse vaidlustamiseks või juhul, kui see asutus jätab tema kaebuse lahendamata(59).
150. Nagu sisuliselt leiavad M. Schrems, BSA ja Iirimaa ning Poola ja Ühendkuningriigi valitsus ja komisjon, tuleneb neist sätetest, et otsus, millega järelevalveasutus otsustab kolmandasse riiki andmete edastamist mitte keelata või seda mitte peatada, kui seda on taotlenud isik, kelle väitel on oht, et kolmandas riigis töödeldakse tema isikuandmeid tema põhiõigustega vastuolus oleval moel, on kohtus vaidlustatav. Kohtusse pöördumise õiguse tunnustamine eeldab aga seda, et järelevalveasutustel on kaalutlusõiguseta pädevus, mitte aga puhtalt kaalutlusõiguse alusel teostatav pädevus. Lisaks sellele rõhutasid M. Schrems ja komisjon õigesti, et tõhusa kohtuliku kontrolli seisukohast on nõutav, et vaidlusaluse akti andnud asutus on akti adekvaatselt põhjendanud(60). Selline põhjendamiskohustus laieneb minu meelest järelevalveasutuste valikule kasutada üht või teist neile GDPRi artikli 58 lõikes 2 antud volitust.
151. Seega on vaja vastata veel argumentidele, milles DPC väidab, et otsuse 2010/87 kehtivus ei ole ikkagi tagatud, isegi kui järelevalveasutused peavad edastamise peatama või keelama, kui andmesubjekti õiguste kaitse seda nõuab.
152. Esiteks leiab DPC, et selline kohustus ei leevenda süsteemseid probleeme, mis on seotud asjakohaste kaitsemeetmete puudumisega sellises riikides nagu USA. Nimelt saab järelevalveasutuste volitusi rakendada ainult üksikjuhtumi põhiselt, samas kui Ameerika õigust iseloomustavad lüngad on üldisemat ja struktuursemat laadi. Sellega kaasneb oht, et erinevad järelevalveasutused teevad sarnaste edastamiste kohta erinevaid otsuseid.
153. Selle teemaga seoses ei saa ma tähelepanuta jätta neid praktilisi raskusi, mis kaasnevad seadusandliku valikuga panna järelevalveasutustele vastutus hoolitseda andmesubjektide põhiõiguste tagamise eest üksikute andmete või andmevoo konkreetsele saajale edastamise korral. Mulle näib, et need raskused ei too siiski kaasa otsuse 2010/87 kehtetust.
154. Mulle näib nimelt, et liidu õigus ei nõua sellise üldise ja preventiivse lahenduse pakkumist, mis hõlmaks kõiki konkreetsesse kolmandasse liikmesriiki toimuvaid ja endas ühesuguseid põhiõiguste rikkumise riske kätkevaid andmete edastamisi.
155. Liiati on järelevalveasutuste lähenemisviiside killustatus olemuslikult seotud seadusandja poolt soovitud detsentraliseeritud järelevalvesüsteemi ülesehitusega(61). Pealegi on, nagu Saksamaa valitsus rõhutab, GDPRi VII peatükis „Koostöö ja järjepidevus“ loodud mehhanismid selle riski vältimiseks. Selle määruse artiklis 60 on andmete piiriülese töötlemise juhtudeks ette nähtud asjaomaste järelevalveasutuste ja vastutava töötleja tegevuskoha järelevalveasutuse ehk „juhtiva järelevalveasutuse“ vaheline koostöömenetlus(62). Arvamuste erinevuse korral peab erimeelsuse lahendama Euroopa Andmekaitsenõukogu(63). Viimase pädevuses on anda ka mõne järelevalveasutuse taotlusel arvamusi kõigi mitut liikmesriiki puudutavate küsimuste kohta(64).
156. Teiseks peab DPC otsust 2010/87 harta artikli 47 seisukohast kehtetuks põhjusel, et järelevalveasutused saavad andmesubjektide õigusi kaitsta vaid edasiulatuvalt, pakkumata lahendust neile, kelle andmed on juba edastatud. Eelkõige toob DPC esile selle, et GDPRi artikli 58 lõikes 2 ei ole ette nähtud õigust kolmanda riigi ametiasutuste kogutud andmetega tutvuda, neid parandada või kustutada, ega andmesubjektile tekitatud kahju hüvitamise võimalust.
157. Kogutud andmetega tutvumise, nende parandamise ja kustutamise õiguse puudumise osas tuleb tõdeda, et kui sihtkohaks olevas kolmandas riigis selleks tõhusat õiguskaitsevahendit ei ole, siis nende õiguskaitsevahenditega, mida on liidus võimalik kasutada vastutava töötleja vastu, ei ole võimalik nõuda selle kolmanda riigi asutustelt andmetega tutvumist ega nende andmete parandamist või kustutamist.
158. Minu arvates ei õigusta see vastuväide siiski järeldust, et otsus 2010/87 on harta artikliga 47 vastuolus. Nimelt ei sõltu selle otsuse kehtivus sellest, milline on kaitse tase igas sellises kolmandas riigis, kuhu andmeid selles otsuses sätestatud lepingu tüüptingimuste alusel edastada võidakse. Kui sihtkohaks oleva kolmanda riigi õigus ei võimalda importijal neid tingimusi täita ning nõuab, et ta võimaldaks ametiasutustel andmetega tutvuda ilma, et sellega kaasneks asjakohaste õiguskaitsevahendite kasutamise võimalust, peab järelevalveasutus võtma parandusmeetmed, kui andmeeksportija ei ole otsuse 2010/87 lisas sisalduva 5. tingimuse punkti a või b kohaselt andmete edastamist peatanud.
159. Lisaks on isikutel, kelle õigusi on rikutud, nagu M. Schrems rõhutas, võimalus vastavalt GDPRi artiklile 82 esitada selle määruse rikkumisega tekitatud varalise ja mittevaralise kahju hüvitamise nõue andmete vastutava või volitatud töötleja vastu(65).
160. Kõigist neist kaalutlustest tulenevalt ei ilmne minu analüüsist ühtki asjaolu, mis mõjutaks otsuse 2010/87 kehtivust harta artiklite 7, 8 ja 47 seisukohast.
F. Teistele eelotsuse küsimustele vastamise ning Privacy Shieldi otsuse kehtivuse analüüsimise vajaduse puudumine
161. Käesolevas jaos esitan põhjused, mis puudutavad põhiliselt põhikohtuasja eseme piirdumist otsuse 2010/87 kehtivusega ning mille tõttu ma leian, et teisele kuni viiendale ega ka üheksandale ja kümnendale eelotsuse küsimusele ei ole vaja vastata ega Privacy Shieldi otsuse kehtivuse osas seisukohta võtta.
162. Teine eelotsuse küsimus puudutab seda, millised on need kaitsestandardid, millest kolmas riik peab juhinduma selleks, et sellesse riiki saaks lepingu tüüptingimuste alusel andmeid edastada, kui on võimalus, et selle kolmanda riigi asutused töötlevad neid andmeid pärast nende edastamist riigi julgeolekuga seotud põhjustel. Kolmas Euroopa Kohtule esitatud küsimus puudutab seda, milliseid sihtkohaks olevas kolmandas riigis kohaldatavat kaitserežiimi iseloomustavaid asjaolusid selle režiimi standardile vastavuse kontrollimisel arvesse võtta.
163. Neljanda, viienda ja kümnenda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas tema poolt seoses Ameerika õigusega tuvastatud asjaolusid silmas pidades on seal ette nähtud asjakohased kaitsemeetmed Ameerika luureteenistuste poolsete eraelu puutumatust, isikuandmete kaitset ja tõhusat kohtulikku kaitset puudutavate põhiõiguste riivete vastu.
164. Üheksas eelotsuse küsimus puudutab seda, kuidas mõjutab uurimist, mille raames kontrollib järelevalveasutus seda, kas otsuses 2010/87 sätestatud lepingu tüüptingimuste alusel USAsse andmete edastamisega kaasnevad asjakohased kaitsemeetmed, asjaolu, et komisjon on Privacy Shieldi otsuses leidnud, et USA pakub andmesubjektidele selliste põhiõiguste riivete vastu piisaval tasemel kaitset.
165. Privacy Shieldi otsuse kehtivuse küsimust ei ole eelotsusetaotluse esitanud kohus sõnaselgelt esitanud, kuigi nagu alljärgnevalt selgitan(66), on neljanda, viienda ja kümnenda küsimusega komisjoni poolt selles otsuses võetud kaitse piisavust puudutav seisukoht kaudselt kahtluse alla seatud.
166. Eeltoodud analüüsist ilmnevaid asjaolusid silmas pidades ei saaks nende küsimuste kohta antav Euroopa Kohtu selgitus minu meelest mõjutada järeldust, mis puudutab otsuse 2010/87 abstraktset kehtivust, ega mõjutada seega ka põhikohtuasja lahendust (1. jagu). Kuigi Euroopa Kohtu vastused neile küsimustele võiksid hilisemas etapis osutuda DPC-le tarvilikeks, et teha selle kohtuasja ajendiks olnud menetluses kindlaks, kas konkreetsel juhul tuleb kõnealused edastamised väidetavate asjakohaste kaitsemeetmete puudumise tõttu peatada, oleks nende käsitlemine käesolevas kohtuasjas minu meelest ennatlik (2. jagu).
1. Euroopa Kohtu vastuste mittevajalikkus põhikohtuasja eset silmas pidades
167. Juhin tähelepanu, et põhikohtuasi algas sellest, et DPC kasutas õiguskaitsevahendit, mida on kirjeldatud kohtuotsuse Schrems punktis 65, mille kohaselt peab iga liikmesriik võimaldama järelevalveasutusel, kui viimane peab talle esitatud kaebuse lahendamisel seda vajalikuks, taotleda, et liikmesriigi kohus pöörduks kaitse piisavuse otsuse – või analoogia alusel lepingu tüüptingimusi kehtestava otsuse – kehtivust puudutava eelotsuse küsimusega Euroopa Kohtu poole.
168. High Court (kõrge kohus) rõhutas seejuures, et olukorras, kus DPC oli tema poole pöördunud, oli tal võimalus kas esitada otsuse 2010/87 kehtivuse kohta DPC poolt taotletud eelotsusetaotlus, kui ta selle otsuse kehtivusega seotud DPC kahtlusi jagas, või keelduda selle taotluse esitamisest vastupidisel juhul. See kohus leidis, et kui ta oleks valinud teisena nimetatud võimaluse, oleks ta pidanud esitatud kaebuse rahuldamata jätma, kuna muud eset DPC kaebusel ei olnud(67).
169. Samamoodi kirjeldas ka Supreme Court (Iirimaa kõrgeim kohus), kellele Facebook Ireland eelotsusetaotluse peale apellatsioonkaebuse esitas, põhikohtuasja vaidlust tuvastusmenetlusena, kus DPC palus eelotsusetaotluse esitanud kohtul esitada Euroopa Kohtule eelotsuse küsimus otsuse 2010/87 kehtivuse kohta. Iirimaa kõrgeima kohtu hinnangul puudutab ainus eelotsusetaotluse esitanud kohtus ja Euroopa Kohtus tõstatatud küsimus niisiis selle otsuse kehtivust(68).
170. Selliselt piiritletud põhikohtuasja eset silmas pidades esitas eelotsusetaotluse esitanud kohus Euroopa Kohtule kümme esimest küsimust, kuivõrd ta leidis, et nende käsitlemine aitab kaasa igakülgsele hindamisele, mis on vajalik selleks, et Euroopa Kohus saaks vastata üheteistkümnendale küsimusele ja otsustada otsuse 2010/87 kehtivuse üle lähtudes harta artiklitest 7, 8 ja 47. Eelotsusetaotluses märgitu kohaselt võtab see küsimus loogiliselt kokku sellele eelnevad küsimused.
171. Seda silmas pidades näib mulle, et teine kuni viies ning üheksas ja kümnes küsimus lähtuvad eeldusest, et otsuse 2010/87 kehtivus sõltub sellest, milline põhiõiguste kaitse tase on ette nähtud igas sellises kolmandas riigis, kuhu andmeid selles otsuses sätestatud lepingu tüüptingimuste alusel edastada võidakse. Ent nagu seitsmenda küsimuse analüüsist(69) nähtub, on see eeldus minu arvates ekslik. Sihtkohaks oleva riigi õiguse uurimine tuleb mängu vaid siis, kui komisjon teeb kaitse piisavuse otsuse või kui vastutav töötleja – või kui tema seda ei tee, siis pädev järelevalveasutus – kontrollib, ega kolmanda riigi poolt andmeimportijale pandud kohustused ei kahjusta GDPRi artikli 46 lõike 1 tähenduses asjakohaste kaitsemeetmete alusel andmete edastamise korral nende kaitsemeetmetega tagatava kaitse tõhusust.
172. Seetõttu ei saa ülalnimetatud küsimustele antavad Euroopa Kohtu vastused mõjutada tema järeldust üheteistkümnenda küsimuse osas(70). Ka põhikohtuasja eset silmas pidades ei ole vajalik sellele vastata.
173. Teen Euroopa Kohtule ettepaneku vaadata käesolev kohtuasi läbi üksnes selle vaidluse eset puudutavast vaatenurgast lähtudes. Minu arvates ei peaks Euroopa Kohus minema kaugemale kui selle vaidluse lahendamiseks vajalik ega käsitlema eelotsuse küsimusi selle vaidluse ajendanud DPC-s käimas oleva menetluse vaatenurgast. Nagu seejärel esile toodud, on see ettepanek end tagasi hoida kantud ühelt poolt vajadusest mitte otseteede kasutamisega hälbida tavapärasest menetlusest, mis peab DPC-s jätkuma pärast seda, kui Euroopa Kohus on teinud otsuse 2010/87 kehtivust puudutava kohtuotsuse. Teiselt poolt näib mulle, et käesoleva juhtumi faktilisi asjaolusid silmas pidades oleks isegi selles menetluses lahendamist vajavate küsimuste seisukohast pisut ennatlik see, kui Euroopa Kohus käsitleks teises kuni viiendas ning üheksandas ja kümnendas küsimuses kajastuvaid probleeme.
2. Põhjused, mis räägivad vastu DPC-s pooleli oleva menetluse esemest lähtuvale Euroopa Kohtu analüüsile
174. DPC-le esitatud kaebusega palub M. Schrems, et nimetatud järelevalveasutus rakendaks talle GDPRi artikli 58 lõike 2 punktist f tulenevaid volitusi ning kohustaks Facebook Irelandi peatama tema isikuandmete lepingutingimuste alusel toimuva edastamise USAsse. M. Schrems põhjendas seda taotlust eelkõige sellega, et lepingulised kaitsemeetmed ei ole kohased, arvestades tema põhiõiguste riiveid, mis tulenevad Ameerika luureteenistuste tegevusest.
175. M. Schremsi argumendid seavad kahtluse alla komisjoni poolt Privacy Shieldi otsuses tuvastatu, et USA tagab selle otsuse alusel edastatud andmete piisava kaitsetaseme, pidades silmas piiranguid nende andmetega tutvumisel, nende andmete kasutamist Ameerika luureteenistuste poolt ning andmesubjektidele pakutavaid õiguskaitsevahendeid(71). Kaudselt väljenduvad kahtlused selle seisukoha põhjendatuse osas ka DPC esialgses hinnangus(72), samuti eelotsusetaotluse esitanud kohtu neljandas, viiendas ja kümnendas küsimuses.
176. Muidugi on Privacy Shieldi otsusega tuvastatud vaid see, et kaitse tase on piisav nende isikuandmete osas, mis edastatakse seal sätestatud põhimõtete kohaselt sellisele USAs asutatud ettevõtjale, kes on ise kinnitanud, et järgib neid põhimõtteid(73). Selles otsuses sisalduvad põhjendused ulatuvad siiski selle otsusega hõlmatud andmete edastamise kontekstist kaugemale osas, milles need puudutavad selles kolmandas riigis kehtivat õigust ja praktikat, mis on seotud edastatud andmete töötlemisega riigi julgeolekuga seotud eesmärkidel. Nagu sisuliselt märkisid Facebook Ireland, M. Schrems, USA valitsus ning komisjon, toimub Ameerika luureteenistuste poolt jälgimine ning kohalduvad ka sellega kaasnevate kuritarvitamise riskide vastased kaitsemeetmed ning nende meetmete järgimise kontrollimehhanismid, sõltumata sellest, milline on andmete edastamise õiguslik alus liidu õiguse seisukohast.
177. Sellest perspektiivist võib DPC poolt M. Schremsi kaebuse läbivaatamisel osutuda asjasse puutuvaks küsimus, kas Privacy Shieldi otsuses tuvastatu on järelevalveasutustele siduv lepingu tüüptingimuste alusel toimuva andmete edastamise õiguspärasuse hindamisel. Kui vastus sellele küsimusele on jaatav, tekib küsimus, kas see otsus on kehtiv.
178. Teen siiski ettepaneku, et Euroopa Kohus ei vastaks neile küsimustele üksnes selleks, et aidata DPC-l seda kaebust lahendada, samas kui neile küsimustele ei ole vaja vastata selleks, et eelotsusetaotluse esitanud kohus saaks lahendada põhikohtuasja. ELTL artiklis 267 sätestatud menetluses, millega on loodud kohtutevaheline dialoogimehhanism, ei ole Euroopa Kohtu ülesanne anda selgitusi, mille ainus eesmärk on aidata haldusasutust vaidluse ajendiks olevas haldusmenetluses.
179. Neile küsimustele vastamisest tuleks minu meelest hoiduda seda enam, et Privacy Shieldi otsuse kehtivuse küsimust ei ole Euroopa Kohtule sõnaselgelt esitatud – liiati on see küsimus juba ühe Üldkohtu menetluses oleva tühistamishagi ese(74).
180. Lisaks takistaks minu arvates Euroopa Kohus ülalkirjeldatud probleemide osas seisukoha võtmisega pärast käesolevas kohtuasjas otsuse tegemist toimuma pidava menetluse normaalset kulgu. Selles menetluses peab DPC M. Schremsi kaebuse läbi vaatama, võttes arvesse Euroopa Kohtu poolt üheteistkümnendale eelotsuse küsimusele antavat vastust. Kui Euroopa Kohus asub vastavalt minu ettepanekule ja vastupidi sellele, mida DPC Euroopa Kohtu menetluses leidis, seisukohale, et otsus 2010/87 ei ole harta artiklitest 7, 8 ja 47 lähtudes kehtetu, peaks DPC minu meelest saama võimaluse tema menetluses oleva toimiku uueks läbivaatamiseks. Juhul kui DPC peaks asuma seisukohale, et ta ei saa M. Schremsi kaebuse kohta otsust teha ilma, et Euroopa Kohus oleks enne otsustanud, kas Privacy Shieldi otsus takistab kõnealuse andmete edastamise peatamise volituse rakendamist ning jääma seisukohale, et tal on kahtlusi selle otsuse kehtivuse osas, oleks tal õigus uuesti pöörduda liikmesriigi kohtute poole, et viimased küsiksid selle kohta Euroopa Kohtult(75).
181. Sel juhul käivituks menetlus, kus kõik Euroopa Kohtu põhikirja artikli 23 teises lõigus nimetatud pooled ja huvitatud isikud saaksid võimaluse esitada Euroopa Kohtule oma seisukohad, mis puudutavad konkreetselt Privacy Shieldi otsuse kehtivust, märkides vajaduse korral, milliste konkreetsete hinnangutega nad ei nõustu, ning põhjused, miks nad leiavad, et komisjon on talle antud vähendatud kaalutlusõiguse piire ületanud(76). Sellises menetluses oleks komisjonil võimalik täpselt ja üksikasjalikult vastata selle otsuse aadressil esitatavale kõikvõimalikule kriitikale. Kuigi käesolevas kohtuasjas on Euroopa Kohtule oma seisukohad esitanud pooled ja kolmandad isikud saanud võimaluse vaielda mõnede aspektide üle, mis on asjasse puutuvad hinnangu andmiseks sellele, kas Privacy Shieldi otsus on kooskõlas harta artiklitega 7, 8 ja 47, väärib see küsimus selle olulisust silmas pidades ammendavat ja põhjalikku arutelu.
182. Minu arvates oleks mõistlik, et need menetlusetapid oleksid läbitud enne, kui Euroopa Kohus annab hinnangu sellele, kuidas mõjutab Privacy Shieldi otsus USAsse GDPRi artikli 46 lõike 1 alusel toimuva andmete edastamise peatamise taotluse läbivaatamist järelevalveasutuse poolt ning võtab seisukoha selle otsuse kehtivuse osas.
183. Veelgi enam on see nõnda seetõttu, et Euroopa Kohtule esitatud toimiku pinnalt ei saa asuda seisukohale, et DPC poolt M. Schremsi kaebuse läbivaatamine sõltub tingimata sellest, kas lepingu tüüptingimuste alusel toimuva andmete edastamise peatamise volituse rakendamine järelevalveasutuse poolt on vastuolus Privacy Shieldi otsusega.
184. Esiteks ei ole sellega seoses välistatud, et DPC peab kõnealuse andmete edastamise peatama muudel põhjustel kui Ameerika luureteenistuste tegevusest tulenevate andmesubjektide põhiõiguste rikkumiste vastu USAs tagatava kaitse väidetav ebapiisavus. Nimelt on eelotsusetaotluse esitanud kohus täpsustanud, et DPC-le esitatud kaebuses leiab M. Schrems, et lepingutingimused, millele Facebook Ireland andmete edastamisel tugineb, ei kajasta otsuses 2010/87 sätestatuid õigesti. Lisaks sellele väidab M. Schrems, et kõnealune andmete edastamine ei kuulu mitte selle otsuse, vaid pigem teiste tüüptingimusi käsitlevate otsuste kohaldamisalasse(77).
185. Teiseks rõhutasid DPC ja eelotsusetaotluse esitanud kohus, et Facebook Ireland ei ole M. Schremsi kaebuses käsitletud andmete edastamisel Privacy Shieldi otsusele tuginenud(78), mida see äriühing kinnitas ka kohtuistungil. Kuigi Facebook Inc. oli ise kinnitanud, et järgib alates 30. septembrist 2016 andmekaitseraamistiku põhimõtteid(79), väidab Facebook Ireland, et see kinnitus puudutas üksnes teatud andmekategooriaid ehk Facebook Inc-i äripartneritega seotud andmeid. Minu meelest oleks kohatu, kui Euroopa Kohus ennetaks selle teema kohta tekkida võivaid küsimusi ning annaks hinnangu sellele, kas eeldusel, et Facebook Ireland ei saa kõnealuste andmete edastamisel tugineda otsusele 2010/87, oleks selline andmete edastamine siiski hõlmatud Privacy Shieldi otsusega, olgugi et Facebook Ireland ei ole seda väitnud ei eelotsusetaotluse esitanud kohtus ega DPC-s.
186. Järeldan sellest, et teisele kuni viiendale ning üheksandale ja kümnendale eelotsuse küsimusele ei tule vastata ega Privacy Shieldi otsuse kehtivusele hinnangut anda.
G. Täiendavad märkused seoses Privacy Shieldi otsuse mõju ja kehtivusega
187. Kuigi ma teen eelneva analüüsi tulemusena Euroopa Kohtule ettepaneku esimese võimalusena mitte võtta seisukohta selles osas, kuidas mõjutab Privacy Shieldi otsus sellise kaebuse nagu see, mille M. Schrems DCP-le esitas, läbivaatamist, ega selle otsuse kehtivuse osas, näib mulle siiski, et kasulik oleks teise võimalusena ning reservatsioonidega esitada sel teemal mõned mitteammendavad tähelepanekud.
1. Privacy Shieldi otsuse mõju järelevalveasutuse poolt lepinguliste kaitsemeetmete alusel toimuva andmete edastamise õiguspärasust puudutava kaebuse läbivaatamisele
188. Üheksas eelotsuse küsimus puudutab seda, kas andmetega tutvumise õigust, Ameerika asutuste poolt riigi julgeolekuga seotud eesmärkidel nende andmete kasutamist ning andmesubjektide õiguskaitset puudutavate piirangute tõttu USAs tagatud kaitse taseme piisavuse kohta Privacy Shieldi otsuses tuvastatu takistab järelevalveasutusel lepingu tüüptingimuste alusel sellesse kolmandasse riiki toimuva andmete edastamise peatamist.
189. Mulle näib, et selle problemaatika lahkamisel tuleb silmas pidada kohtuotsuse Schrems punkte 51 ja 52, kust tuleneb, et kaitse piisavuse otsus on järelevalveasutustele siduv, kuni seda ei ole kehtetuks tunnistatud. Niisiis ei saa järelevalveasutus, kes on saanud kaebuse isikult, kelle andmed on edastatud kaitse piisavuse otsuses nimetatud kolmandasse riiki, andmete edastamist peatada põhjusel, et sealne kaitse tase on ebapiisav, kui Euroopa Kohus ei ole enne seda otsust kehtetuks tunnistanud(80).
190. Peamiselt soovib eelotsusetaotluse esitanud kohus teada, kas see järeldus, kuivõrd see puudutab kaitse piisavuse otsust – nagu Privacy Shieldi otsus või enne seda Safe Harbori otsus –, mille aluseks on ettevõtjate vabatahtlik kinnitus selles otsuses sätestatud põhimõtete järgimise kohta, peab paika üksnes juhul, kui andmete edastamine kõnealusesse kolmandasse riiki toimub selle otsuse alusel või ka juhul, kui see toimub mingisugusel muul õiguslikul alusel.
191. M. Schrems, Saksamaa, Madalmaade, Poola ja Portugali valitsus ning komisjon leiavad, et Privacy Shieldi otsuses tuvastatud kaitsetaseme piisavus ei võta järelevalveasutustelt volitusi peatada või keelata lepingu tüüptingimuste alusel toimuvat andmete edastamist USAsse. Kui USAsse andmete edastamise aluseks ei ole Privacy Shieldi otsus, ei ole see otsus järelevalveasutuste jaoks GDPRi artikli 58 lõikest 2 tulenevate volituste rakendamisel formaalselt siduv. Teisisõnu ei pea need asutused tingimata juhinduma komisjoni tuvastatust, et Ameerika asutuste poolsete andmesubjektide põhiõiguste riivete vastase kaitse tase on piisav. Madalmaade valitsus ja komisjon täpsustavad, et järelevalveasutused peavad neid volitusi rakendades seda siiski arvesse võtma. Saksamaa valitsuse arvates võivad need asutused vastupidise hinnangu anda üksnes komisjoni poolt tuvastatu sisulise ja asjakohaseid uurimisi hõlmava analüüsi põhjal.
192. Facebook Ireland ning USA valitsus leiavad seevastu sisuliselt, et õiguskindluse ja liidu õiguse ühetaolise kohaldamise nõudeid silmas pidades tähendab kaitse piisavuse otsuse siduvus seda, et selles otsuses tuvastatut ei ole järelevalveasutustel õigust kahtluse alla seada isegi sellise kaebuse läbivaatamisel, milles palutakse peatada kõnealusesse kolmandasse riiki selline andmete edastamine, mis toimub muul õiguslikul alusel kui see otsus.
193. Nõustun neist kahest käsitusest esimesega. Kuna Privacy Shieldi otsuse kohaldamisalasse kuulub vaid andmete edastamine ettevõtjale, kes on ise andnud selle otsuse kohase kinnituse, ei saa kõnealune otsus olla järelevalveasutuste jaoks formaalselt siduv sellise otsuse kohaldamisalasse mittekuuluva andmete edastamise korral. Samal ajal peab Privacy Shieldi otsus õiguskindluse tagama üksnes selle otsusega loodud raamistikus andmeid edastavate andmeeksportijate jaoks. Minu meelest oleks ka GDPRi artikliga 52 järelevalveasutustele antud sõltumatusega pigem vastuolus see, kui komisjoni poolt kaitse piisavuse otsuses tuvastatu oleks neile siduv isegi väljaspool selle otsuse kohaldamisala.
194. Loomulikult on Privacy Shieldi otsuses tuvastatu, mis puudutab USAs sealsete luureteenistuste tegevusega seotud riivete vastu tagatava kaitse piisavust, lähtepunktiks selle analüüsi puhul, mille raames järelevalveasutus üksikjuhtumi põhiselt hindab, kas lepingu tüüptingimuste alusel toimuv andmete edastamine tuleb selliste riivete tõttu peatada. Kui ta siiski põhjaliku uurimise tulemusel leiab, et ei saa tema tähelepanu all oleva andmete edastamise puhul seal tuvastatust lähtuda, jääb järelevalveasutusele minu arvates võimalus rakendada talle GDPRi artikli 58 lõike 2 punktidest f ja j tulenevaid volitusi.
195. Kui aga Euroopa Kohus annaks siin käsitletud küsimusele vastuse, mis on vastupidine sellele, mida mina toetan, tuleks uurida, kas neid volitusi ei tuleks siiski taastada Privacy Shieldi otsuse kehtetuse tõttu.
2. Privacy Shieldi otsuse kehtivus
196. Järgnevates tähelepanekutes toon esile mitu küsimust seoses Privacy Shieldi otsuses sisalduvate hinnangute põhjendatusega osas, mis puudutab Ameerika luureteenistuste poolsete elektroonilise side jälgimise toimingute puhul USAs tagatava kaitse taseme piisavust GDPRi artikli 45 lõike 1 tähenduses. Nende tähelepanekutega ei soovi ma väljendada lõplikku ega ammendavat seisukoha selle otsuse kehtivuse osas. Toon neis esile vaid mõned mõtted, mis võiksid Euroopa Kohtule kasulikuks osutuda, kui ta soovib, vastupidi minu ettepanekule, selle küsimuse kohta otsuse teha.
197. Privacy Shieldi otsuse põhjendusest 64 ja selle otsuse II lisa punktist I.5 tuleneb seejuures, et ettevõtjate poolt selles otsuses sätestatud põhimõtete järgimise kohustust võivad piirata nimelt riigi julgeoleku, avaliku huvi ja õigusaktide järgimist puudutavad nõuded või Ameerika õigusest tulenevad kollideeruvad kohustused.
198. Niisiis hindas komisjon USA õiguses ette nähtud kaitsemeetmeid, mis on seotud Ameerika asutuste õigusega edastatud andmetega tutvuda ja neid kasutada eelkõige riigi julgeolekuga seotud põhjustel(81). Ameerika valitsus on võtnud komisjoni ees teatud kohustused, mis puudutavad ühelt poolt piiranguid seoses Ameerika asutuste võimalusega edastatud andmetega tutvuda ja neid kasutada ning teiselt poolt andmesubjektidele pakutavat õiguskaitset(82).
199. Euroopa Kohtus leiab M. Schrems, et Privacy Shieldi otsus on kehtetu, kuna selliselt kirjeldatud kaitsemeetmetest ei piisa, et tagada põhiõiguste piisav kaitsetase neile isikutele, kelle andmeid USAsse edastatakse. DPC, EPIC ning Austria, Poola ja Portugali valitsus ei sea küll otseselt kahtluse alla selle otsuse kehtivust, ent ei nõustu selles otsuses Ameerika luureteenistuste toimingutest tulenevate riivete vastase kaitse taseme piisavusele antud komisjoni hinnangutega. Need kahtlused peegeldavad ka muret, mida on väljendanud parlament(83), Euroopa Andmekaitsenõukogu(84) ja Euroopa andmekaitseinspektor(85).
200. Enne Privacy Shieldi otsuses kaitse piisavuse kohta võetud seisukoha põhjendatuse analüüsimist on vaja täpsustada analüüsimiseks kasutatavat metoodikat.
a) Kaitse piisavuse otsuse analüüsi sisu puudutavad täpsustused
1) Kaitse taseme „sisulist samaväärsust“ hinnata võimaldava võrdluse tingimused
201. GDPRi artikli 45 lõike 3 ja Euroopa Kohtu praktika(86) kohaselt võib komisjon lugeda tuvastatuks, et kolmas riik tagab kaitse piisava taseme üksnes siis, kui ta on seda nõuetekohaselt põhjendades asunud seisukohale, et andmesubjektide põhiõiguste kaitse tase on seal „sisuliselt samaväärne“ sellega, mis on nõutav liidus vastavalt sellele määrusele koosmõjus hartaga.
202. Nõnda nõuab kolmandas riigis tagatava kaitse taseme piisavuse kontrollimine tingimata ühelt poolt selles kolmandas riigis kehtivate normide ja praktika ning teiselt poolt liidus kehtivate kaitsestandardite võrdlemist. Teise küsimusega palub eelotsusetaotluse esitanud kohus Euroopa Kohtul täpsustada selle võrdluse teostamise tingimused(87).
203. Konkreetsemalt soovib see kohus teada, kas see, et riigi julgeoleku kaitse küsimused on ELL artikli 4 lõike 2 ja GDPRi artikli 2 lõike 2 kohaselt jäetud liikmesriikide pädevusse, tähendab seda, et liidu õiguskorras ei ole selliseid kaitsestandardeid, millega tuleks kaitse taseme piisavuse hindamiseks võrrelda neid kaitsemeetmeid, mis on seotud kolmandas riigis sinna edastatud andmete ametiasutuste poolse töötlemisega riigi julgeolekuga seotud eesmärkidel. Jaatava vastuse korral soovib see kohus teada, kuidas tuleb võrdlusalused kindlaks määrata.
204. Siinkohal tuleb meeles pidada, et isikuandmete rahvusvahelise edastamise piirangud, mille kohaselt on nõutav andmesubjektide õiguste kaitse järjepidevus, on liidu õiguses kehtestatud selleks, et vältida liidus kohaldatavatest standarditest möödahiilimise ohtu(88). Nagu sisuliselt väidab ka Facebook Ireland, ei oleks seda eesmärki silmas pidades kuidagi õigustatud nõuda kolmandalt riigilt selliste nõuete täitmist, mis ei ole vastavuses liikmesriikidel lasuvate kohustustega.
205. Harta artikli 51 lõike 1 kohaselt kohaldub harta liikmesriikide suhtes aga üksnes liidu õiguse kohaldamise korral. See, kas kaitse piisavuse otsus on sihtkohaks oleva kolmanda riigi õigusnormidest tuleneva andmesubjektide põhiõiguste piirangute seisukohast kehtiv, sõltub seega sellest, millised on need piirangud võrreldes piirangutega, mida lubaksid liikmesriikidel kehtestada harta sätted ainult juhul, kui sarnane liikmesriigi regulatsioon kuuluks liidu õiguse kohaldamisalasse.
206. Sihtkohaks olevas kolmandas riigis tagatava kaitse taseme piisavuse hindamisel ei saa siiski jätta tähelepanuta eelkõige neid andmesubjektide põhiõiguste riiveid, mille põhjustavad riigi julgeolekuga seotud riiklikud meetmed, mis jääksid, juhul kui need võtaks liikmesriik, liidu õiguse kohaldamisalast välja. Selle hindamise puhul tuleb GDPRi artikli 45 lõike 2 punkti a kohaselt kolmandas riigis kehtivaid riigi julgeoleku valdkonna õigusnorme arvesse võtta ilma mis tahes piiranguteta.
207. Kaitse taseme piisavuse hindamine selliste riiklike meetmete seisukohast nõuab minu arvates nende meetmetega kaasnevate tagatiste võrdlemist selle kaitse tasemega, mis on liidus nõutav tulenevalt liikmesriikide õigusest, sealhulgas EIÕKst tulenevatest kohustustest. Kuivõrd ühinemine EIÕKga kohustab liikmesriike viima oma riigisisese õiguse konventsiooni sätetega kooskõlla ning on seega, nagu ka Facebook Ireland, Saksamaa ja Tšehhi valitsus ning komisjon rõhutasid, liikmesriikide jaoks ühiseks nimetajaks, pean ma selle hindamise seisukohast kohaseks võrdlusaluseks EIÕK sätteid.
208. Nagu eespool märgitud(89), on käesoleval juhul riigi julgeolekuga seotud USA nõuded esimuslikud ettevõtjate endi poolt võetud Privacy Shieldi otsuses sätestatud põhimõtete järgimise kohustuse ees. Ka sõltub selle otsuse kehtivus sellest, kas nende nõuetega kaasnevad kaitsemeetmed pakuvad sisuliselt samaväärset kaitset võrreldes sellega, mis tuleb tagada liidus.
209. Sellele küsimusele vastamiseks on kõigepealt vaja kindlaks määrata, millised on hartast või siis EIÕKst tulenevad standardid, millele peavad liidus vastama need elektroonilise side jälgimist reguleerivad õigusnormid, mis sarnanevad komisjoni poolt Privacy Shieldi otsuses käsitletutega. Kohaldatavate standardite kindlaksmääramine sõltub vastusest küsimusele, kas sellised õigusnormid nagu FISA artikkel 702 ja EO 12333, juhul kui need oleks kehtestanud liikmesriik, kuuluksid või ei kuuluks nende erandite alla, mis jäävad GDPRi kohaldamisalast välja vastavalt selle määruse artikli 2 lõikele 2 koosmõjus ELL artikli 4 lõikega 2.
210. ELL artikli 4 lõike 2 sõnastusest ja väljakujunenud kohtupraktikast tuleneb seejuures, et liidu õigust ja eelkõige isikuandmete kaitset puudutavaid teisese õiguse akte ei kohaldata riigi julgeoleku valdkonna toimingute suhtes niivõrd, kui nende näol on tegemist selliste toimingutega, mis on iseloomulikud riigile või riigi ametiasutustele ega ole omased eraõiguslike isikute tegevusvaldkondadele.(90)
211. See põhimõte tähendab ühelt poolt seda, et riigi julgeoleku valdkonna õigusnormid ei kuulu liidu õiguse kohaldamisalasse, kui need reguleerivad üksnes riigi toiminguid ega reguleeri ühtki isikute poolt tehtavat toimingut. Seetõttu ei ole liidu õigus minu meelest kohaldatav selliste riigi poolt võetavate meetmete suhtes, mis on seotud otseselt riigi poolt riigi julgeoleku kaitse eesmärkidel isikuandmete kogumise ja kasutamisega ning mis ei pane konkreetseid kohustusi eraõiguslikele turuosalistele. Eelkõige ei kuulu liidu õiguse kohaldamisalasse, nagu komisjon kohtuistungil väitis, selline liikmesriigi poolt EO 12333 eeskujul võetav meede, mis lubab selle liikmesriigi julgeolekuteenistustel vahetult tutvuda edastamisel olevate andmetega(91).
212. Teiselt poolt on aga keerukam küsimus see, kas liidu õiguse kohaldamisalast jäävad välja ka sellised liikmesriigi sätted, millega pannakse, nagu FISA artikliga 702, elektroonilise side teenuse osutajatele kohustus pakkuda riigi julgeoleku alal pädevatele asutustele oma tuge selleks, viimased saaksid teatud isikuandmetega tutvuda.
213. Kui broneeringuinfo kohtuotsus toetab jaatavat vastust sellele küsimusele, siis kohtuotsustes Tele2 Sverige ja Ministerio Fiscal esitatud põhjendused võiksid õigustada sellele eitava vastuse andmist.
214. Broneeringuinfo kohtuotsuses tühistas Euroopa Kohus otsuse, milles komisjon oli tuvastanud, et lennureisijate toimikutes sisalduvad isikuandmed (Passenger Name Records, PNR), mis edastatakse Ameerika pädevatele tolli- ja piirivalveasutusele, olid piisaval tasemel kaitstud(92). Euroopa Kohus leidis, et selles otsuses käsitletud andmete edastamine – ehk lennuettevõtjate poolt kõnealusele asutusele broneeringuinfo edastamine – ei kuulu selle eset silmas pidades erandina direktiivi 95/46 kohaldamisalasse vastavalt selle direktiivi artikli 3 lõikele 2. Euroopa Kohtu hinnangul ei olnud selline andmete edastamine vajalik mitte teenuse osutamiseks, vaid pigem avaliku julgeoleku kaitseks ja karistusvõimu teostamiseks. Kuivõrd kõnealune andmete edastamine toimus ametiasutuste poolt kehtestatud korras ning selle eesmärk oli avalik julgeolek, ei kuulunud see selle direktiivi kohaldamisalasse hoolimata asjaolust, et algul kogusid broneeringuinfot eraõiguslikud turuosalised direktiivi kohaldamisalasse jääva äritegevuse raames ning viimased korraldasid nende andmete edastamise(93).
215. Hilisemas kohtuotsuses Tele2 Sverige(94) leidis Euroopa Kohus, et liikmesriigi õigusnormid, mille aluseks on direktiivi 2002/58/EÜ(95) artikli 15 lõige 1 ja mis reguleerivad nii liiklusandmete ja asukohaandmete säilitamist üldkasutatavate elektroonilise side teenuste pakkuja poolt kui ka ametiasutuste võimalust selles sättes nimetatud eesmärkidel – mille hulgas on karistusvõimu teostamine ja riigi julgeoleku kaitse – nende andmetega tutvuda, kuuluvad selle direktiivi ning seega ka harta kohaldamisalasse. Euroopa Kohus leidis, et ei andmete säilitamist puudutavad sätted ega ka need sätted, mis on seotud säilitatud andmetega tutvumise võimalustega, ei kuulu nende selle direktiivi kohaldamisalast välja jäävate erandite hulka, mis on sätestatud selle direktiivi artikli 1 lõikes 3, kus viidatakse eelkõige riigi toimingutele karistusvõimu teostamisel ja riigi julgeoleku kaitsel(96). Euroopa Kohus kinnitas seda kohtupraktikat kohtuotsuses Ministerio Fiscal(97).
216. FISA artikkel 702 erineb sellistest õigusnormidest siiski selle poolest, et sellega ei panda elektroonilise side teenuse pakkujatele mingisugust kohustust andmeid säilitada või neid mis tahes muul viisil töödelda, kui luureteenistused ei ole andmetele juurdepääsuks taotlust esitanud.
217. Niisiis tekib küsimus, kas GDPRi ja sellest tulenevalt ka harta kohaldamisalasse kuuluvad sellised liikmesriigi meetmed, millega pannakse neile teenuse osutajatele kohustus võimaldada riigi julgeolekuga seotud eesmärkidel andmetega tutvumist, sõltumata igasugusest kohustusest andmeid säilitada(98).
218. Esimene lähenemine võiks seisneda võimalikult suure kooskõla leidmises kahe eelpool nimetatud kohtupraktikas võetud seisukoha vahel, tõlgendades Euroopa Kohtu poolt kohtuotsustes Tele2 Sverige ja Ministerio Fiscal võetud seisukohti, mis puudutavad liidu õiguse kohaldatavust nende meetmete suhtes, mis reguleerivad ametiasutustele neil eesmärkidel ja eelkõige riigi julgeoleku kaitse eesmärgil andmetega tutvumise võimaldamist(99) selliselt, et see seisukoht puudutab vaid neid olukordi, kus andmeid säilitatakse direktiivi 2002/58 artikli 15 lõike 1 alusel pandud seadusest tuleneva kohustuse tõttu. Seevastu ei kuuluks see seisukoht kohaldamisele broneeringuinfo kohtuotsuses käsitletud teistsuguses faktilises kontekstis, mis puudutas Ameerika pädevale sisejulgeolekuasutusele selliste andmete edastamist, mida lennuettevõtjad kogusid omal algatusel ärilisel eesmärgil.
219. Teise lähenemise kohaselt, mida toetab komisjon ning mida ma pean veenvamaks, õigustavad kohtuotsustes Tele2 Sverige ja Ministerio Fiscal esitatud põhjendused seda, et liidu õigus on kohaldatav selliste riigisiseste õigusnormide suhtes, millega pannakse elektroonilise side teenuse pakkujatele kohustus abistada riigi julgeoleku eest vastutavaid asutusi, et viimased saaksid teatud andmetega tutvuda, ilma et oleks oluline, kas nende normidega kaasneb nende andmete eelneva säilitamise kohustus või mitte.
220. Nende põhjenduste puhul ei ole kesksel kohal mitte kõnealuste sätete ese, nagu broneeringuinfo kohtuotsuses, vaid pigem asjaolu, et need teenusepakkujate tegevust reguleerivad sätted panevad neile andmete töötlemise kohustuse. Selline tegevus ei ole käsitatav riigi tegevusena selles tähenduses, nagu peetakse silmas direktiivi 2002/58 artikli 1 lõikes 3 ja direktiivi 95/46 artikli 3 lõikes 2, mille sisu on põhiosas üle võetud GDPRi artikli 2 lõikesse 2.
221. Nii märkis Euroopa Kohus kohtuotsuses Tele2 Sverige, et „juurdepääs nende teenuseosutajate säilitatavatele sideandmetele [puudutab] isikuandmete töötlemist nende teenuseosutajate poolt, selline töötlemine kuulub aga kõnealuse direktiivi kohaldamisalasse“(100). Samamoodi leidis Euroopa Kohus kohtuotsuses Ministerio Fiscal, et seadusandlikud meetmed, mis panevad teenuseosutajatele kohustuse anda riigi pädevatele ametiasutustele juurdepääs säilitatud andmetele, „nõuavad paratamatult nende andmete töötlemist teenuseosutajate poolt“(101).
222. Vastutava töötleja poolt andmete ametiasutusele kättesaadavaks tegemine vastab aga GDPRi artikli 4 punktis 2 sätestatud mõistele „töötlemine“(102). Nii on see ka otsingukriteeriumide alusel andmete eelneva filtreerimise puhul selleks, et eraldada andmed, millele riigiasutused juurdepääsu taotlesid(103).
223. Järeldan sellest, et kohtuotsustes Tele2 Sverige ja Ministerio Fiscal võetud Euroopa Kohtu seisukohtadest lähtudes kuuluvad GDPR ning seega ka harta kohaldamisele selliste riigisiseste õigusnormide suhtes, millega pannakse elektroonilise side teenuse osutajale kohustus riigi julgeoleku eest vastutavatele asutustele osutada abi, tehes neile andmed kättesaadavaks ja olles need vajaduse korral enne filtreerinud, sõltumata sellest, kas neil on mingisugune seadusest tulenev kohustus neid andmeid säilitada.
224. See tõlgendus näib vähemalt kaudselt tulenevat ka kohtuotsusest Schrems. Nagu DPC, Austria ja Poola valitsus ning komisjon rõhutasid, leidis Euroopa Kohus seal Safe Harbori otsuse kehtivust hinnates, et kaitse piisavuse otsuses käsitletava kolmanda riigi õiguses peavad ametiasutuste poolsete riigi julgeolekuga seotud eesmärkidel toimuvate andmesubjektide põhiõiguste riivete vastu olema ette nähtud sellised kaitsemeetmed, mis on sisuliselt samaväärsed eelkõige harta artiklitest 7, 8 ja 47 tulenevatega(104).
225. Konkreetsemalt järeldub sellest, et GDPRi artikli 2 lõikes 2 sätestatud erandite alla ei kuulu selline liikmesriigi meede, millega pannakse elektroonilise side teenuse osutajatele kohustus vastata taotlusele, mille riigi julgeoleku valdkonnas pädevad asutused on esitanud selleks, et saada võimalus tutvuda andmetega, mille need teenuseosutajad on kogunud oma äritegevuse raames ja ilma mis tahes seadusest tuleneva kohustuseta neid andmeid säilitada, kusjuures taotletavad andmed on varem defineeritud identimistunnuste kaudu (nagu programmis PRISM). Samamoodi on see ka sellise riigisisese meetme puhul, millega nõutakse „tuumvõrku“ käitavatelt ettevõtjatelt nende käitatavas infrastruktuuris edastatavate andmetega tutvumise võimaldamist riigi julgeoleku eest vastutavatele asutustele (nagu programmis Upstream).
226. Seevastu pärast seda, kui kõnealused andmed on riigiasutuste kätte jõudnud, kuulub nende asutuste poolt riigi julgeolekuga seotud eesmärkidel nende andmete säilitamine ja hilisem kasutamine minu meelest käesoleva ettepaneku punktis 211 esitatutega samadel põhjustel GDPRi artikli 2 lõikes 2 sätestatud erandite alla ega kuulu niisiis selle määruse ega seega ka harta kohaldamisalasse.
227. Kõike eeltoodut arvesse võttes leian, et selleks, et kontrollida Privacy Shieldi otsuse kehtivust lähtudes Ameerika luureteenistuste toimingutest tuleneda võivatest piirangutest selles otsuses sätestatud põhimõtete kohaldamisel, tuleb kontrollida kahte asjaolu.
228. Esiteks tuleb uurida, kas USA tagab GDPRi ja harta sätetest tulenevaga sisuliselt samaväärse kaitse taseme selliste piirangute vastu, mis kaasnevad FISA artikli 702 kohaldamisega, kuivõrd see säte võimaldab NSA-l panna teenuseosutajatele kohustuse teha isikuandmed talle kättesaadavaks.
229. Teiseks on EIÕK sätted kohane võrdlusalus selleks, et hinnata, kas USAs tagatava kaitse taseme piisavuse seavad kahtluse alla need piirangud, mis võivad kaasneda EO 12333 rakendamisega, kuivõrd selle kohaselt on luureasutustel võimalik koguda isikuandmeid ise, ilma eraõiguslike teenuseosutajate abita. Need sätted on ka standard, millega võrreldes saab hinnata kaitse taseme piisavust seoses nende asutuste poolt andmete säilitamise ja kasutamisega riigi julgeolekuga seotud eesmärkidel.
230. Lisaks on vaja kindlaks teha ka see, kas kaitse piisavuse tuvastamine eeldab seda, et EO 12333 alusel toimuva andmete kogumisega kaasneb liidus nõutavaga samaväärne kaitse tase isegi juhul, kui andmete kogumine toimub väljaspool USA territooriumi nende andmete liidust sellesse kolmandasse riiki edastamise faasis.
2) Piisava kaitsetaseme tagamise vajadus andmete edastamise faasis
231. Selles osas, kas komisjon peab või ei pea kolmandas riigis tagatava kaitse taseme piisavuse hindamisel arvestama ka meetmetega, mis puudutavad kolmanda riigi asutuste võimalust tutvuda andmetega väljaspool oma territooriumi nende andmete liidust sellele territooriumile edastamise faasis, kaitstakse Euroopa Kohtus kolme seisukohta.
232. Esiteks leiavad Facebook Ireland ning USA ja Ühendkuningriigi valitsus sisuliselt, et selliste meetmete olemasolu ei ole kaitse piisavuse tuvastamise seisukohast oluline. Viimati nimetatud põhjendavad seda arusaama sellega, et kolmandal riigil ei ole võimalik kontrollida kõiki väljaspool tema territooriumi asuvaid sidekanaleid, mille kaudu liidust pärinevaid andmeid edastatakse, mistõttu ei saaks ta ka põhimõtteliselt kunagi tagada, et mõni teine kolmas riik andmeid nende edastamise ajal salaja ei kogu.
233. Teiseks leiavad DPC, M. Schrems, EPIC ning Austria ja Madalmaade valitsus, parlament ja Euroopa Andmekaitsenõukogu, et GDPRi artiklis 44 sätestatud kaitse taseme järjepidevuse nõue tähendab seda, et see tase peab olema piisav kogu andmete edastamise vältel, sealhulgas andmete edastamise ajal merealuste kaablite kaudu enne, kui need sihtkohaks oleva kolmanda riigi territooriumile jõuavad.
234. Seda põhimõtet küll tunnustades leiab komisjon kolmandaks, et kaitse piisavuse tuvastamise esemeks on üksnes kolmanda riigi piiride sees tagatav kaitse, nõnda et kaitse piisavuse otsuse kehtivust ei saa kahtluse alla seada asjaolu, et piisav kaitse ei ole tagatud sellesse kolmandasse riiki andmete edastamise ajal. Vastutav töötleja peab siiski GDPRi artikli 32 kohaselt andmete edastamise turvalisuse eest hoolitsema, kaitstes isikuandmeid nende kõnealusesse kolmandasse riiki edastamise faasis nii palju, kui võimalik.
235. Sellega seoses täheldan, et andmete kolmandasse riiki edastamine peab GDPRi artikli 44 kohaselt vastama nimetatud määruse V peatükis sätestatud tingimustele, kui neid andmeid võidakse töödelda „pärast [nende] edastamist“. Seda sõnastust võiks mõista kas nii, et see tähendab – nagu leiab Euroopa Kohtule esitatud kirjalikus vastuses USA valitsus –, et need tingimused peavad olema täidetud pärast seda, kui andmed on sihtkohta jõudnud või nii, et need peavad olema täidetud pärast edastamise alustamist (sealhulgas edastamise faasis).
236. Kuna GDPRi artikli 44 sõnastuse pinnalt ühest järeldust teha ei saa, nõustun teleoloogilise tõlgendamise tulemusena teisena nimetatud tõlgendusega ning toetan seega eespool teisena mainitud lähenemist. Nimelt, kui asuda seisukohale, et selles sättes ette nähtud kaitse taseme järjepidevuse nõue hõlmab ainult sihtkohaks oleva kolmanda riigi territooriumil tehtavaid jälgimistoiminguid, oleks võimalik sellest mööda hiilida, kui see kolmas riik teeb need toimingud andmete edastamise faasis väljaspool enda territooriumi. Selle ohu vältimiseks peab kolmandas riigis tagatava kaitse taseme piisavuse hindamine puudutama kõiki eelkõige riigi julgeoleku alaseid selle kolmanda riigi õiguskorra sätteid(105), sealhulgas nii neid, mis käsitlevad jälgimise teostamist selle riigi territooriumil, kui ka neid, mis käsitlevad selle riigi territooriumile edastamisel olevate andmete jälgimist(106).
237. Nagu Euroopa Andmekaitsenõukogu rõhutab, ei vaidle seejuures keegi vastu sellele, et kaitse taseme piisavuse hindamine puudutab GDPRi artikli 45 lõikest 1 tulenevalt vaid andmete sihtkohaks oleva kolmanda riigi õiguskorra sätteid. Seda hinnangut ei mõjuta see, et ei ole võimalik tagada, et mõni kolmas riik neid andmeid nende edastamise ajal salaja ei kogu, millele osutavad Facebook Ireland ning USA ja Ühendkuningriigi valitsus. Pealegi ei saa sellist riski välistada ka pärast seda, kui andmed on sihtkohaks oleva kolmanda riigi territooriumile jõudnud.
238. Ka on tõsi, et komisjon võib kolmandas riigis tagatava kaitse taseme piisavuse hindamisel puutuda kokku sellega, et kolmas riik jätab talle selliste salajaste jälgimisprogrammide olemasolu avaldamata. Sellest ei tulene siiski, et komisjon võiks, kui ta sellistest programmidest teada saab, jätta need kaitse taseme piisavuse hindamisel arvesse võtmata. Samamoodi, kui asjaomase kolmanda riigi poolt tema territooriumil või sinna territooriumile andmete edastamise ajal rakendatavate teatavate salajaste jälgimisprogrammide olemasolu saab komisjonile teatavaks pärast kaitse piisavuse otsuse tegemist, peab komisjon selles kolmandas riigis tagatava kaitse taseme piisavuse osas võetud seisukoha ümber hindama, kui teatavaks saanud asjaolude pinnalt tekib selles osas kahtlus(107).
3) Komisjoni ja eelotsusetaotluse esitanud kohtu poolt tuvastatud USA õigust puudutavate faktiliste asjaolude arvessevõtmine
239. Kuigi vaidlust pole selles, et Euroopa Kohus ei ole pädev andma kolmanda riigi õigusele selle riigi õiguskorras siduvaid tõlgendusi, sõltub Privacy Shieldi otsuse kehtivus sellest, kas on põhjendatud komisjoni hinnangud selle kohta, millisel tasemel on USA õiguses ja praktikas tagatud nende isikute põhiõiguste kaitse, kelle andmeid sellesse riiki edastatakse. Nimelt pidi komisjon põhjendama oma seisukohta, et kaitse on piisav, lähtudes eeskätt neist kolmanda riigi õiguse sisuga seotud asjaoludest, mida on mainitud GDPRi artikli 45 lõikes 2(108).
240. High Court (kõrge kohus) kirjeldas oma 3. oktoobri 2017. aasta kohtuotsuses üksikasjalikult Ameerika õiguse asjasse puutuvate aspektide puhul vaidluse poolte esitatud tõendite hindamise tulemusena tuvastatut(109). See ülevaade kinnitas suuresti komisjoni poolt Privacy Shieldi otsuses tuvastatut, mis puudutas edastatud andmete kogumist Ameerika luureasutuste poolt ning nende võimalust andmetega tutvuda, samuti ka nende asutuste toimingutega seotud õiguskaitsevõimalusi ja järelevalvemehhanisme.
241. Eelotsusetaotluse esitanud kohus, nagu ka mitu Euroopa Kohtule märkusi esitanud poolt ja huvitatud isikut on aga kahtluse alla seadnud nii komisjoni poolt nende tuvastatud asjaolude pinnalt tehtud õiguslikud tagajärjed – ehk järelduse, et USA tagab isikutele, kelle andmeid selle otsuse alusel edastatakse, põhiõiguste piisaval tasemel kaitse – kui ka komisjoni poolt seal esitatud Ameerika õiguse sisu kirjelduse.
242. Neil asjaoludel analüüsin Privacy Shieldi otsuse kehtivust, lähtudes peaasjalikult Ameerika õiguse sisu osas komisjoni enda poolt tuvastatust ning uurin, kas see õigustas selle kaitse piisavuse otsuse vastu võtmist.
243. Ma ei nõustu siinkohal DPC ja M. Schremsi seisukohaga, et Privacy Shieldi otsuse kehtivuse hindamisel on Euroopa Kohtule siduv High Courti (kõrge kohus) poolt USA õiguse kohta tuvastatu. Eelnimetatud väidavad, et kuna välisriigi õigus on Iiri menetlusõiguse kohaselt käsitatav faktilise asjaoluna, on selle sisu tuvastamise pädevus üksnes eelotsusetaotluse esitanud kohtul.
244. Väljakujunenud kohtupraktikas tunnustatakse tõepoolest liikmesriigi kohtu ainupädevust faktiliste asjaolude tuvastamisel ning liikmesriigi õiguse tõlgendamisel ja selle kohaldamisel tema menetluses olevas kohtuasjas(110). See kohtupraktika kajastab Euroopa Kohtu ja eelotsusetaotluse esitanud kohtu vahelist ülesannete jaotust ELTL artikliga 267 loodud menetluses. Kui Euroopa Kohus on ainsana pädev tõlgendama liidu õigust ning otsustama teisese õiguse kehtivuse üle, siis liikmesriigi kohtu, kes peab lahendama konkreetse tema menetluses oleva vaidluse, pädevuses on faktiliste ja õiguslike asjaolude tuvastamine selleks, et Euroopa Kohus saaks talle anda tarviliku vastuse.
245. Eelotsusetaotluse esitanud kohtu sellise ainupädevuse eesmärk ei ole minu meelest üle kantav kolmanda riigi õiguse kindlakstegemisele, kuna see on asjaolu, mis mõjutab Euroopa Kohtu poolt teisese õiguse akti kehtivuse osas võetavat seisukohta(111). Kuivõrd sellise akti kehtetuks tunnistamisel on liidu õiguskorras erga omnes mõju(112), ei saa Euroopa Kohtu seisukoht sõltuda eelotsusetaotluse taustast. Nagu aga Facebook Ireland ja USA valitsus rõhutavad, sõltukski see seisukoht nimelt sellest, kui eelotsusetaotluse esitanud kohtu poolt kolmanda riigi õiguse kohta tuvastatu oleks Euroopa Kohtu jaoks siduv, kuna tuvastatu võib erineda sõltuvalt liikmesriigi kohtust.
246. Neid põhjendusi silmas pidades leian, et kui liidu akti kehtivust puudutavale eelotsuse küsimusele vastamine nõuab kolmanda riigi õiguse sisu hindamist, ei ole Euroopa Kohus seotud eelotsusetaotluse esitanud kohtu poolt selle kolmanda riigi õiguse kohta tuvastatuga, kuigi ta võib seda arvesse võtta. Vajaduse korral võib Euroopa Kohus seda eirata või täiendada, võttes kõnealuse akti kehtivuse hindamiseks vajalike asjaolude kindlakstegemiseks võistlevuse põhimõtet silmas pidades arvesse ka muid allikaid(113).
4) „Sisulise samaväärsuse“ standardi ulatus
247. Juhin tähelepanu, et Privacy Shieldi otsuse kehtivus sõltub vastusest küsimusele, kas USA õiguskord tagab neile isikutele, kelle andmeid liidust sellesse kolmandasse riiki edastatakse, sellise kaitse, mis on „sisuliselt samaväärne“ sellega, mis on liikmesriikides tagatud vastavalt GDPRile ja hartale ning liidu õiguse kohaldamisalasse mitte kuuluvates valdkondades nende poolt EIÕKga võetud kohustustele.
248. Nagu Euroopa Kohus kohtuotsuses Schrems(114) rõhutas, ei tähenda see standard, et kaitse tase peab olema „identne“ sellega, mis on nõutav liidus. Kuigi vahendid, mida kolmas riik andmesubjektide õiguste kaitseks kasutab, võivad olla erinevad nendest, mis on sätestatud GDPRis koosmõjus hartaga, „peavad need vahendid siiski praktikas osutuma tõhusaks, et tagada liidus kehtiva kaitsega sisuliselt samaväärne kaitse“.
249. Minu meelest tuleneb sellest samuti, et sihtkohaks oleva kolmanda riigi õigus võib peegeldada talle omast väärtushinnangute skaalat, mille kohaselt võib erinevate olemasolevate huvide kaal erineda neile liidu õiguskorras omistatust. Pealegi vastab liidus kehtiv isikuandmete kaitse mujal maailmas kehtiva kaitse tasemega võrreldes eriliselt kõrgele standardile. Sestap tuleks sisulise samaväärsuse kriteeriumi kohaldamisel minu arvates säilitada teatud paindlikkus, võttes arvesse erinevaid õiguslikke ja kultuurilisi traditsioone. See kriteerium nõuab siiski, sest vastasel korral muutuks see sisutühjaks, et sihtkohaks oleva kolmanda riigi õiguskorras oleksid vasted teatud hartast ja EIÕKst tulenevatele minimaalsetele kaitsemeetmetele ja üldistele põhiõiguste kaitse nõuetele(115).
250. Vastavalt harta artikli 52 lõikele 1 tohib hartaga tunnustatud õiguste ja vabaduste teostamist piirata ainult seadusega, arvestades nimetatud õiguste ja vabaduste olemust ning kooskõlas proportsionaalsuse põhimõttega üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi. Need nõuded vastavad sisuliselt EIÕK artikli 8 lõikes 2 sätestatutele(116).
251. Kuivõrd harta artiklitega 7, 8 ja 47 tagatud õigused vastavad EIÕK artiklites 8 ja 13 nimetatutele, on neil harta artikli 52 lõike 3 kohaselt samasugune tähendus ja ulatus, võttes arvesse, et liidu õiguses võidakse neile kehtestada ulatuslikum kaitse. Sellest vaatenurgast on, nagu ma ka edaspidi näitan, harta artiklitest 7, 8 ja 47 tulenevad standardid – nii nagu Euroopa Kohus neid tõlgendanud on – teatud küsimustes rangemad kui need, mis tulenevad Euroopa Inimõiguste Kohtu (edaspidi „EIK“) tõlgenduse kohaselt EIÕK artiklist 8.
252. Märgin ka, et mõlema nimetatud kohtu menetluses olevates kohtuasjades palutakse neil kaaluda teatud aspektides oma vastava kohtupraktika muutmist. Ühelt poolt on kaks hiljutist elektroonilise side jälgimise valdkonda puudutanud EIK otsust, ehk kohtuotsused Centrüm för Rättvisa vs. Rootsi(117) ja Big Brother Watch vs. Ühendkuningriik(118) saadetud uuesti läbivaatamiseks suurkojale. Teisalt on kolm liikmesriigi kohut esitanud Euroopa Kohtule eelotsusetaotlused, kus avatakse debatt küsimuses, kas tuleks või ei tuleks muuta kohtuotsusest Tele2 Sverige tulenevat kohtupraktikat(119).
253. Olles need täpsustused teinud, käsitlen nüüd Privacy Shieldi otsuse kehtivust lähtudes GDPRi artikli 45 lõikest 1 koosmõjus harta ja EIÕKga osas, milles need tagavad ühelt poolt õiguse eraelu puutumatusele ja isikuandmete kaitsele (b jagu) ning teiselt poolt õiguse tõhusale kohtulikule kaitsele (c jagu).
b) Privacy Shieldi otsuse kehtivus, lähtudes õigusest eraelu puutumatusele ja isikuandmete kaitsele
254. Neljandas küsimuses seab eelotsusetaotluse esitanud kohus eelkõige kahtluse alla eraelu puutumatuse ning isikuandmete kaitse põhiõiguste osas USAs tagatud kaitsetaseme sisulise samaväärsuse sellega, mis on andmesubjektidele tagatud liidus.
1) Riivete olemasolu
255. Privacy Shieldi otsuse põhjendustes 67–124 osundab komisjon võimalusele, et Ameerika asutused saavad liidust edastatud andmetega tutvuda ning kasutavad neid riigi julgeolekuga seotud eesmärkidel eelkõige FISA artikli 702 ja EO 12333 alusel toimuvate programmide raames.
256. Nende programmide rakendamisega kaasneb Ameerika luureteenistuste sekkumine, mis oleks, juhul kui seda teeksid liikmesriigi asutused, käsitatav harta artikliga 7 ja EÕIK artikliga 8 tagatud eraelu puutumatuse riivena. See loob andmesubjektide jaoks ka ohu, et nende isikuandmeid võidakse töödelda moel, mis ei vasta harta artiklis 8 sätestatud nõuetele(120).
257. Täpsustan kohe, et õigus eraelu puutumatusele ja isikuandmete kaitsele hõlmavad lisaks sõnumite sisule ka liiklusandmete(121) ja asukohaandmete (ühiselt nimetatuna „metaandmed“) kaitset. Nii Euroopa Kohus kui ka EIK on leidnud, et sarnaselt sisuandmetega võivad metaandmed kajastada väga üksikasjalikku isiku eraelu puudutavat teavet(122).
258. Euroopa Kohtu praktika kohaselt ei ole harta artikliga 7 tagatud õiguse riive tuvastamisel oluline, kas edastatud isikuandmed on delikaatsed või mitte või kas asjaomased isikud on asjaomase jälgimismeetme tõttu pidanud taluma mingeid ebamugavusi(123).
259. Selle tähelepaneku taustal kaasneb kõigepealt FISA artikli 702 alusel rakendatavate jälgimisprogrammidega nende isikute põhiõiguste riive, kelle sõnumid vastavad NSA poolt valitud identimistunnustele ja edastatakse seetõttu elektroonilise side teenuse osutajate poolt NSA-le(124). Kuivõrd neil teenuseosutajatel lasuv kohustus teha andmed NSA-le kättesaadavaks on erand üldisest sõnumisaladuse põhimõttest(125), kaasneb sellega iseenesest riive ka juhul, kui luureteenistused nende andmetega hiljem ei tutvu ega neid ei kasuta(126). Nende asutuste poolt neile kättesaadavaks tehtud metaandmete ja sõnumite sisu säilitamine ja tegelik juurdepääs neile andmetele, nagu ka nende andmete kasutamine, kujutavad endist täiendavaid riiveid(127).
260. Veelgi enam, vastavalt eelotsusetaotluse esitanud kohtu poolt tuvastatule(128) ning teistele allikatele, nagu PCLOB aruanne FISA artikli 702 alusel rakendatavate programmide kohta, millele juhtis Euroopa Kohtu tähelepanu Ameerika valitsus(129), on NSA-le programmi Upstream raames filtreerimise eesmärgil kättesaadavad juba tuumvõrku läbiva andmevoo osaks olevad suured elektroonilise side andmekogumid („paketid“), mis sisaldavad ka NSA poolt kindlaks määratud identimistunnustele mitte vastavaid sõnumeid. Neid andmekogumeid saab NSA uurida vaid selleks, et kiirelt ja automatiseeritult kindlaks teha, kas nende hulgas on identimistunnustele vastavaid sõnumeid. NSA andmebaasides salvestatakse üksnes vastavalt filtreeritud sõnumid. Selline andmetega tutvumise võimalus nende filtreerimise eesmärgil on minu arvates samuti käsitatav andmesubjektide eraelu puutumatuse riivena, sõltumata saadud andmete hilisemast kasutamisest(130).
261. Liiati on kõnealuste andmete kättesaadavaks tegemine ja filtreerimine(131), luureteenistuste võimalus nende andmetega tutvuda, samuti nagu nende andmete võimalik säilitamine, analüüsimine ja kasutamine, hõlmatud mõistega „töötlemine“ GDPRi artikli 4 lõike 2 ja harta artikli 8 lõike 2 tähenduses. Selline töötlemine peab seega vastama viimati nimetatud sättes ette nähtud nõuetele(132).
262. EO 12333 alusel toimuv jälgimine võib hõlmata aga luureteenistuste vahetut juurdepääsu edastamisel olevatele andmetele, millega kaasneb EIÕK artikliga 8 tagatud õiguse riive. Sellele lisanduvad riived, mis seisnevad nende andmete hilisemas võimalikus kasutamises.
2) „Seaduses ette nähtud“ riive
263. Vastavalt Euroopa Kohtu(133) ja EIK(134) praktikale tähendab nõue, et igasugune põhiõiguste riive peab olema harta artikli 52 lõike 1 ja EIÕK artikli 8 lõike 2 tähenduses „seaduses ette nähtud“, lisaks sellele, et meetmel, milles selline riive ette nähakse, peab olema liikmesriigi õigusest tulenev seaduslik alus, ka seda, et selle seadusliku aluse puhul peavad kuritarvitamise vältimiseks olema täidetud teatud kättesaadavuse ja etteaimatavuse nõuded.
264. Euroopa Kohtule oma seisukohad esitanud pooled ja huvitatud isikud on eri meelt peamiselt küsimuses, kas FISA artikkel 702 ja EO 12333 vastavad seaduse etteaimatavust puudutavale tingimusele.
265. Euroopa Kohtu(135) ja EIK(136) antud tõlgenduse kohaselt nõuab see tingimus seda, et eraelu puutumatuse riivet sisaldavas õigusaktis sisalduksid selged ja täpsed normid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded selleks, et andmesubjektidel oleksid piisavad kaitsemeetmed enda andmete kaitsmiseks kuritarvitamise ohu ning nendega mis tahes õigusvastase tutvumise või nende õigusvastase kasutamise eest. Sellistes normides peab eelkõige olema ära näidatud, millistel asjaoludel ja tingimustel võivad ametiasutused isikuandmeid säilitada, neile juurde pääseda ja neid kasutada(137). Lisaks peab riivet lubav õiguslik alus määratlema eraelu puutumatuse piirangu ulatuse(138).
266. Kahtlen M. Schremsi ja EPIC eeskujul selles, kas EO 12333 nagu ka PPD 28, kus on sätestatud kõigi signaalluuretoimingute puhul kaitsemeetmed(139), on piisavalt etteaimatavad selleks, et need oleksid käsitatavad „seadusena“.
267. Neis õigusaktides mainitakse sõnaselgelt, et need ei anna andmesubjektidele õiguslikult kaitstavaid subjektiivseid õigusi(140). Niisiis ei saa nad kohtus PPD 28-s sätestatud kaitsemeetmetele tugineda(141). Liiati on komisjon Privacy Shieldi otsuses leidnud, et kuigi selles presidendi direktiivis sätestatud kaitsemeetmed on siduvad luureteenistustele(142), ei ole nende sõnastamisel kasutatud „juriidilisi mõisteid“(143). Pealegi kuuluvad EO 12333 ja PPD 28 halduse siseeeskirjade hulka, mille võib kehtetuks tunnistada või mida muuta USA president. EIK on aga juba asunud seisukohale, et halduse sisejuhised ei ole käsitatavad „seadusena“(144).
268. FISA artikli 702 puhul on M. Schrems selle sätte etteaimatavuse kahtluse alla seadnud põhjusel, et selles ei ole andmete filtreerimiseks kasutatavate valikukriteeriumide kindlaksmääramise tõttu sätestatud piisavaid kuritarvitamise ohu vastaseid kaitsemeetmeid. Kuivõrd see problemaatika on seotud küsimusega, kas ka FISA artiklis 702 ette nähtud riived on rangelt vajalikud, käsitlen seda edaspidi(145).
269. Kolmas eelotsuse küsimus on seotud jälle riive „seadusega“ ettenägemist puudutava tingimusega. Selle küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas kolmandas riigis tagatava kaitse taseme piisavust tuleb hinnata üksnes lähtudes selles riigis kehtivatest õiguslikult siduvatest normidest ja nende täitmise tagamisele suunatud praktikast või siiski ka seal kohaldatavatest erinevatest mittesiduvatest aktidest ja kohtuvälistest kontrollimehhanismidest.
270. GDPRi artikli 45 lõike 2 punktis a on sellel puhul sätestatud mitteammendav loetelu asjaoludest, mida komisjon kolmandas riigis pakutava kaitse taseme piisavuse hindamisel arvesse võtma peab. Nende asjaolude hulgas on kohaldatav õigus ning see, kuidas seda rakendatakse. Selles sättes on mainitud ka muud liiki normide nagu ametieeskirjad ja turvameetmed mõju. Lisaks tuleb selle sätte kohaselt arvesse võtta „andmesubjektide „tõhusaid ja kohtulikult kaitstavaid õigusi“ ja „tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse“(146).
271. Tervikuna lugedes ning seal sisalduva loetelu mitteammendavust silmas pidades tähendab see säte minu meelest seda, et kogu asjaomases riigis tagatava kaitse taseme hindamisel võib sellist praktikat ja akte, mis ei põhine kättesaadaval ja etteaimataval seadusest tuleneval alusel, arvesse võtta kui asjaolusid, mis toetavad selliseid kaitsemeetmeid, millel on neile tingimustele vastav õiguslik alus. Nagu aga eelkõige DPC, M. Schrems ja Austria valitsus ning Euroopa Andmekaitsenõukogu märkisid, ei saa sellised aktid või selline praktika neid kaitsemeetmeid asendada ega seega ise nõutavat kaitse taset tagada.
3) Põhiõiguste olemuse mittekahjustamine
272. Harta artikli 52 lõikes 1 sätestatud nõue, et kõik hartaga tagatud põhiõiguste või vabaduste piirangud peavad olema kooskõlas nende õiguste või vabaduste olemusega tähendab, et kui riive seda olemust kahjustab, ei saa seda õigustada ükski legitiimne eesmärk. Sel juhul loetakse riive hartaga vastuolus olevaks ilma, et oleks vaja hinnata, kas see on taotletava eesmärgi saavutamiseks sobiv ja vajalik.
273. Euroopa Kohus on sellega seoses leidnud, et liikmesriigi õigusnormid, mis võimaldavad ametiasutustel üldiselt tutvuda elektrooniliste sõnumite sisuga, kahjustavad harta artikliga 7 tagatud eraelu puutumatuse põhiõiguse olemust(147). Seevastu, rõhutades küll liiklus- ja asukohaandmetega tutvumise võimaluse ja analüüsimisega seotud riske(148), asus Euroopa Kohus seisukohale, et see, kui liikmesriigi õigusaktid võimaldavad riigiasutustel üldiselt tutvuda nende andmetega, selle õiguse olemust ei mõjuta(149).
274. FISA artiklit 702 ei saa minu meelest käsitada sättena, mis teeks Ameerika luureteenistustele elektrooniliste sõnumite sisu üldiselt kättesaadavaks.
275. Esiteks FISA artiklist 702 luureasutustele tulenev võimalus andmetega nende analüüsimiseks ja vajaduse korral kasutamiseks tutvuda piirdub andmetega, mis vastavad konkreetse sihtmärgiga seotud valikukriteeriumidele.
276. Teisalt võiks programm Upstream mõistagi hõlmata üldist võimalust tutvuda elektrooniliste sõnumite sisuga nende automatiseeritud filtreerimise eesmärgil, kui identimistunnuseid ei kohaldataks mitte üksnes „saatja“ ja „saaja“ väljade, vaid ka kogu sõnumivoo sisu suhtes (identimistunnuste „kohta käivate“ sõnumite otsing)(150). Nagu leiab komisjon ja vastupidi sellele, mida väidavad M. Schrems ja EPIC, ei saa luureasutuste ajutist võimalust üksnes valikukriteeriumide kohaldamises seisneva sõnumite filtreerimise eesmärgil kogu elektrooniliste sõnumite sisuga tutvuda, samastada sõnumite sisuga üldise tutvumise võimalusega(151). Minu arvates ei ole sellisest automatiseeritud filtreerimise eesmärgil toimuvast ajaliselt piiratud andmetega tutvumise võimalusest tulenev riive samavõrd intensiivne kui riive, mis tuleneb ametiasutuste üldisest võimalusest tutvuda sõnumite sisuga selle sisu analüüsimiseks ja vajaduse korral kasutamiseks(152). Filtreerimise eesmärgil andmetega ajutise tutvumise võimalus ei luba asutustel valikukriteeriumidele mittevastavate sõnumite metaandmeid ega nende sõnumite sisu säilitada ega eelkõige, nagu märgib Ameerika valitsus, neile kriteeriumidele mittevastavate isikute profiile koostada.
277. Vastus küsimusele, kas identimistunnuste abil sihtmärkide määratlemine piirab FISA artikli 702 alusel rakendatavate programmide puhul tõhusalt luureteenistuste pädevust, sõltub sellest, kuidas on reguleeritud identimistunnuste valik(153). M. Schrems väidab sellega seoses, et sellekohase piisava kontrolli puudumise tõttu ei ole Ameerika õiguses ette nähtud kaitsemeedet sõnumite sisuga üldise tutvumise vastu juba filtreerimise etapis, mistõttu kahjustab see andmesubjektide eraelu puutumatuse õiguse olemust.
278. Nagu ma edaspidi üksikasjalikumalt selgitan(154), kaldun jagama kahtlusi, mis puudutavad seda, kas identimistunnuste valiku regulatsioon on piisav selleks, et see vastaks riive etteaimatavuse ja proportsionaalsuse põhimõtetele. Ent sellise regulatsiooni olemasolu, isegi kui see on ebatäiuslik, räägib vastu järeldusele, et FISA artikkel 702 võimaldab ametiasutuste üldist tutvumist elektrooniliste sõnumite sisuga ning võrdub seega harta artiklis 7 nimetatud õiguse olemuse kahjustamisega.
279. Rõhutan ka, et arvamuses 1/15 leidis Euroopa Kohus, et harta artikliga 8 tagatud isikuandmete kaitse õiguse olemus säilib, kui andmete töötlemise eesmärgid on määratletud ning töötlemisega kaasnevad sellised eeskirjad, mis on mõeldud eelkõige nende andmete turvalisuse, konfidentsiaalsuse ja terviklikkuse tagamiseks ning nende kaitseks ebaseadusliku juurdepääsu ja töötlemise eest.(155)
280. Privacy Shieldi otsuses tuvastas komisjon, et nii FISA artiklis 702 kui ka PPD 28-s on piiritletud eesmärgid, millistel võib FISA artikli 702 alusel rakendatavate programmide raames andmeid koguda(156). Samuti märkis komisjon seal, et PPD 28-s on sätestatud normid, mis piiravad andmetega tutvumist ning nende salvestamist ja levitamist selleks, et tagada andmete turvalisus ja kaitsta neid lubamatu tutvumise eest(157). Nagu mu edasistest põhjendustest nähtub(158), on mul kahtlusi eelkõige seoses küsimusega, kas kõnealuse andmete töötlemise eesmärgid on määratletud piisavalt selgelt ja täpselt, et oleks tagatud selline kaitse tase, mis on samaväärne sellega, mis kehtib liidu õiguskorras. Need võimalikud puudused ei ole minu meelest siiski piisavad selleks, et saaks asuda seisukohale, et sellised programmid rikuksid, juhul kui neid rakendataks liidus, isikuandmete kaitse ja eraelu puutumatuse õiguste olemust.
281. Lisaks tuleb, kordan, EO 12333 kohaste jälgimistoimingute teostamisel tagatava kaitse taseme piisavust hinnata lähtudes EIÕK sätetest. Sellega seoses nähtub Privacy Shieldi otsusest, et ainsad piirangud, mis USA‑väliseid isikuid puudutavate andmete kogumiseks EO 12333 alusel tehtavate toimingute tegemisel kehtestatud on, on need, mis on sätestatud PPD 28-s(159). Selles presidendi direktiivis on sätestatud, et välisluureteabe kasutamine peab olema „võimalikult täpselt suunatud“. Siiski on seal sõnaselgelt mainitud konkreetsetel riigi julgeolekuga seotud eesmärkidel väljaspool Ameerika territooriumi andmete „masskogumise“ võimalust(160). M. Schremsi arvamuse kohaselt ei kaitse PPD 28 sätted, mis pealegi ei anna isikutele subjektiivseid õigusi, andmesubjekte elektrooniliste sõnumite sisuga üldise tutvumise ohu eest.
282. Märgin selles osas üksnes, et EIÕK artiklit 8 puudutavas kohtupraktikas ei ole EIK eraelu puutumatuse õiguse põhisisu ega olemuse mõistet kasutanud(161). Viimane ei ole kuni seniajani leidnud, et isegi elektroonilise side massilist pealtkuulamist ja -vaatamist võimaldavad regulatsioonid ületaksid iseenesest liikmesriikide kaalutlusõiguse piire. EIK leiab, et sellised regulatsioonid on EIÕK artikli 8 lõikega 2 kooskõlas, kui nendega kaasneb teatud hulk minimaalseid kaitsemeetmeid(162). Neil asjaoludel ei näi mulle kohane ilma sellise regulatsiooniga kaasnevaid võimalikke kaitsemeetmeid üldse uurimata asuda seisukohale, et selline jälgimise kord, nagu EO 12333-s sätestatu, ületab liikmesriikide kaalutlusõiguse piire.
4) Legitiimne eesmärk
283. Harta artikli 52 lõike 1 kohaselt peavad kõik hartaga tagatud põhiõiguste piirangud olema kooskõlas liidu poolt tunnustatud üldist huvi pakkuva eesmärgiga. Harta artikli 8 lõikes 2 on samuti sätestatud, et andmete töötlemine ilma asjaomase isiku nõusolekuta peab toimuma „seaduses ette nähtud õiguslikul alusel“. EIÕK artikli 8 lõikes 2 on omakorda loetletud eesmärgid, millistel võib eraelu puutumatuse riive olla põhjendatav.
284. Privacy Shieldi otsuse kohaselt võib seal sätestatud põhimõtete järgimist piirata riigi julgeoleku, avaliku huvi ja õiguskaitseliste vajaduste täitmiseks(163). Selle otsuse põhjendustes 67–124 käsitletakse konkreetsemalt neid piiranguid, mis tulenevad andmetega tutvumisest ja nende kasutamisest Ameerika avaliku sektori asutuste poolt riigi julgeolekuga seotud eesmärkidel.
285. Vaidlust pole selles, et riigi julgeoleku kaitse on legitiimne eesmärk, millega saab õigustada erandite tegemist GDPRist(164) ning harta artiklitest 7 ja 8 tulenevatest nõuetest(165), samuti EIÕK artikli 8 lõikest 2. M. Schrems, Austria valitsus ja EPIC on märkinud, et FISA artiklil 702 ja EO 12333-l põhinevate jälgimisprogrammidega taotletavad eesmärgid ei piirdu ainult riigi julgeolekuga. Nimelt on nende aktide eesmärk saada „välisluureteavet“, see mõiste hõlmab erinevat liiki teavet, mille hulka kuulub ka riigi julgeolekuga seotud teave, ent mis ei piirdu tingimata sellega(166). Mõiste „välisluureteave“ hõlmab FISA artikli 702 kohaselt ka välissuhtlust puudutavaid andmeid(167). EO 12333-s omakorda on see mõiste määratletud selliselt, et see hõlmab välisriikide valitsuste, välismaa organisatsioonide ja välismaalaste võimekuse, kavatsuste ja tegevusega seotud teavet(168). M. Schrems seab sellise eesmärgi kahtluse alla osas, kus see on laiem kui riigi julgeolek.
286. Minu meelest hõlmab riigi julgeolek teatud määral ka välissuhtlusega seotud huvide kaitset(169). Pealegi ei ole võimatu, et eraelu puutumatuse ja isikuandmete kaitse põhiõiguste riivet õigustada võivateks üldise huviga seotud olulisteks eesmärkideks on ka mõned muud FISA artiklis 702 ja EO 12333-s kasutatud mõistega „välisluureteave“ hõlmatud eesmärgid peale riigi julgeoleku kaitse. Nende eesmärkide kaal on riigi julgeoleku kaitse eesmärgiga võrreldes andmesubjektide põhiõiguste ja riivega taotletava eesmärgi omavahelisel kaalumisel igal juhul väiksem(170).
287. Veel on aga harta artikli 52 lõike 1 kohaselt vaja, et asjaomast riivet ette nägev meede ka tegelikult riigi julgeolekuga seotud või muud legitiimset eesmärki täidaks(171). Peale selle peavad riivete eesmärgid olema määratletud nii, et need vastaksid selguse ja täpsuse nõuetele(172).
288. M. Schrems leiab aga, et FISA artiklis 702 ja EO 12333-s sätestatud jälgimismeetmete eesmärk ei ole sõnastatud piisavalt selgelt, et etteaimatavus ja proportsionaalsus oleksid tagatud. Eelkõige on see nõnda, kuna neis aktides on mõiste „välisluureteave“ määratletud eriliselt avaralt. Lisaks on komisjon Privacy Shieldi otsuse põhjenduses 109 leidnud, et FISA artikkel 702 nõuab, et välisluureteabe kogumine oleks teabe kogumise „oluline eesmärk“, milline sõnastus ei välista esmapilgul, nagu märkis EPIC, muude kindlaks määramata eesmärkide taotlemist.
289. Neil põhjustel ei ole välistatud, et FISA artikli 702 ja EO 12333 kohased jälgimismeetmed on kooskõlas legitiimsete eesmärkidega, ent võib eneselt küsida, kas need eesmärgid on määratletud piisavalt selgelt ja täpselt selleks, et oleks võimalik ennetada kuritarvitamise ohtu ning kontrollida neist tulenevate riivete proportsionaalsust(173).
5) Riivete vajalikkus ja proportsionaalsus
290. Euroopa Kohus on korduvalt rõhutanud, et harta artiklitest 7 ja 8 tulenevad õigused ei ole absoluutsed õigused, vaid neid käsitledes tuleb lähtuda nende ülesandest ühiskonnas ning kaaluda muude põhiõigustega vastavalt proportsionaalsuse põhimõttele(174). Nagu Facebook Ireland rõhutab, on nende teiste õiguste hulgas harta artikliga 6 tagatud õigus turvalisusele.
291. Väljakujunenud kohtupraktika kohaselt peab harta artiklitega 7 ja 8 tagatud mis tahes põhiõiguste riive läbima ka range proportsionaalsuse kontrolli(175).
292. Iseäranis tuleneb kohtuotsusest Schrems, et „[r]angelt vajalikuga ei piirdu õigusakt, mis annab üldise loa säilitada […] kõik isikuandmed […] ilma et olenevalt taotletavast eesmärgist esineks eristamist, piiranguid või erandeid ning ilma, et oleks ette nähtud objektiivset kriteeriumi, mis võimaldaks piiritleda ametiasutuste juurdepääsu andmetele ja nende hilisemat kasutamist konkreetsetel rangelt piiritletud eesmärkidel, millega nii andmete tutvumisega kui ka nende kasutamisega kaasnev sekkumine võib olla põhjendatud“(176).
293. Samuti on Euroopa Kohus leidnud, et andmetega tutvumise tingimuseks peab olema – välja arvatud nõuetekohaselt põhjendatud juhtudel – kohtu või sõltumatu haldusasutuse eelnev kontroll, mille tulemusena tehtava otsuse eesmärk on piirata andmetega tutvumist ja nende kasutamist üksnes eesmärgi saavutamiseks rangelt vajalikuga(177).
294. GDPRi artikli 23 lõikes 2 on sätestatud rida kaitsemeetmeid, mille liikmesriik peab selle määruse sätetest erandite tegemise korral ette nägema. Sellise erandi tegemist võimaldav regulatsioon peab hõlmama eelkõige sätteid, mis puudutavad andmete töötlemise eesmärki, piirangu ulatust, kuritarvitamise tõkestamiseks mõeldud kaitsemeetmeid, säilitamise tähtaegu ning andmesubjektide õigust olla piirangust teavitatud, välja arvatud juhul, kui see võib kahjustada piirangu eesmärki.
295. Käesoleval juhul leiab M. Schrems, et FISA artikliga 702 ei kaasne piisavaid kaitsemeetmeid kuritarvitamise ja ebaseadusliku andmetega tutvumise ohtude vastu. Eelkõige ei ole piisavalt reguleeritud identimistunnuste valimise kriteeriumid, mistõttu ei paku see säte kaitset sõnumite sisuga üldise tutvumise vastu.
296. USA valitsus ja komisjon leiavad seevastu, et identimistunnuste valik on FISA artikli 702 kohaselt objektiivsete kriteeriumide kaudu piiritletud, kuna see säte lubab üksnes väljaspool USAd asuvate USA‑väliste isikute elektroonilise side andmete kogumist välisluureteabe saamise eesmärgil.
297. Minu meelest võib kahelda nende kriteeriumide piisavas selguses ja täpsuses, samuti kaitsemeetmete piisavuses kuritarvitamise ohtude tõkestamiseks.
298. Kõigepealt on Privacy Shieldi otsuse põhjenduses 109 märgitud, et FISC ega ükski muu sõltumatu kohtu- või haldusorgan ei kiida enne heaks üksikuid identimistunnuseid. Komisjon tõdes seal, et „FISC [ei anna] luba üksikuteks jälgimismeetmeteks; selle asemel annab ta load jälgimisprogrammide jaoks […] vastavalt iga-aastastele vastavuskinnitustele“, mida kinnitas Euroopa Kohtus ka USA valitsus. Selles põhjenduses on täpsustatud, et „FISC heakskiidetavad kinnitused [ei sisalda] teavet sihtmärgiks võetavate konkreetsete isikute kohta, vaid neis määratletakse pigem [koguda lubatud] välisluureinfo kategooriad“. Komisjon tuvastas seal, et „FISC ei hinda (ei eeldatava põhjuse järgi ega mõnel muul alusel) seda, kas isikud on välisluureinfo kogumise sihtmärgiks valitud õigesti“, kuigi ta kontrollib tingimust, et „kogumise oluline eesmärk on saada välisluureinfot“.
299. Edasi lubab FISA artikkel 702 selle põhjenduse kohaselt NSA-l sõnumiandmeid koguda „üksnes juhul, kui on piisavalt alust arvata, et konkreetset sidevahendit kasutatakse välisluureinfo edastamiseks“. Privacy Shieldi otsuse põhjenduses 70 on lisatud, et identimistunnuste valik toimub üldisest riiklikust luureprioriteetide raamistikust (National Intelligence Priorities Framework, NIPF) lähtudes. Sellest otsusest ei nähtu, et NSA-l oleks kohustus identimistunnuste valikut põhjendada või seda haldusprioriteetide seisukohast täpsemalt õigustada(178).
300. Viimaks viidatakse Privacy Shieldi otsuse põhjenduses 71 PPD 28-s sätestatud nõudele, mille kohaselt peab välisluureinfo kogumine olema „võimalikult täpselt suunatud“. Lisaks asjaolule, et see presidendi direktiiv ei anna isikutele subjektiivseid õigusi, näib mulle, et tegevuse „võimalikult täpse suunatuse“ kriteerium ei pruugi sugugi olla sisuliselt samaväärne „range vajalikkuse“ kriteeriumiga, mis peab harta artikli 52 lõike 1 kohaselt täidetud olema selleks, et õigustada harta artiklitega 7 ja 8 tagatud õiguste riivet(179).
301. Neid põhjendusi silmas pidades ei ole Privacy Shieldi otsuses kajastatud asjaolude põhjal kindel, et FISA artiklil 702 põhinevate jälgimistoimingutega kaasnevad sellised jälgimismeetmete alla sattuda võivaid isikuid ja andmete kogumise lubatud eesmärke puudutavad kaitsemeetmed, mis oleksid sisuliselt samaväärsed nendega, mis on nõutavad vastavalt GDPRile koosmõjus harta artiklitega 7 ja 8(180).
302. Mis puudutab aga EO 12333 kohaselt toimuva jälgimisega kaasneva kaitse taseme piisavust, siis EIK on tunnustanud liikmesriikide avarat kaalutlusõigust oma riigi julgeoleku kaitseks kasutatavate vahendite valikul, ent seda kaalutlusõigust piirab siiski nõue näha ette kohased ja piisavad kuritarvitamise vastased kaitsemeetmed(181). Varjatud jälgimise meetmeid puudutavas kohtupraktikas kontrollib EIK seda, kas nende meetmete aluseks olevas siseriiklikus õiguses sisalduvad piisavad ja tõhusad kaitsemeetmed ja tõkked selleks, et etteaimatavuse ja demokraatlikus ühiskonnas vajalikkuse nõuded oleksid täidetud(182).
303. EIK on sellega seoses sõnastanud teatud hulga minimaalseid kaitsemeetmeid. Need kaitsemeetmed puudutavad sõnumite pealtkuulamise ja -vaatamise lubamist õigustada võivate õigusrikkumiste laadi selget ära näitamist; isikute, kelle sõnumeid võidakse pealt kuulata ja -vaadata, kategooriate määratlemist; meetme võtmise ajalise piiri kehtestamist; menetluskorda, mida tuleb järgida kogutud andmete uurimisel, kasutamisel ja säilitamisel; ettevaatusabinõusid, mis tuleb võtta andmete avaldamise korral kolmandatele isikutele ning asjaolusid, millistel võib või peab salvestised kustutama või hävitama(183).
304. Riivega kaasnevate kaitsemeetmete kohasus ja tulemuslikkus sõltuvad kõigist konkreetse juhtumi asjaoludest, sealhulgas meetmete laadist, ulatusest ja kestusest, nende võtmiseks nõutavatest põhjustest, nende lubamiseks, rakendamiseks ja kontrollimiseks pädevatest asutustest ning siseriiklikus õiguses antud kaebevõimaluse liigist(184).
305. Eelkõige võtab EIK varjatud jälgimise meetme põhjendatust hinnates arvesse igasugust kontrolli, mida teostatakse „toimingute tegemiseks kohustamise korral andmisel“, „toimingute tegemise ajal“ ja „pärast toimingute lõppemist“(185). Neist kolmest staadiumist esimese puhul nõuab EIK, et vastavate toimingute teostamiseks annaks loa sõltumatu organ. Kuigi EIK hinnangul on sõltumatus, erapooletus ja menetluse nõuetekohasus kõige paremini tagatud kohtuvõimu puhul, ei pea kõnealune organ tingimata olema kohtusüsteemi osa(186). Võimalikke puudujääke loa andmise menetluses võib kompenseerida põhjalikum kohtulik kontroll mõnes hilisemas staadiumis(187).
306. Käesoleval juhul tuleneb Privacy Shieldi otsusest, et ainsad väljaspool USA territooriumi toimuvat andmete kogumist ja kasutamist piiravad kaitsemeetmed sisalduvad PPD 28-s, kuna FISA artikkel 702 väljaspool seda territooriumi kohaldatav ei ole. Ma pole veendunud, et need kaitsemeetmed on piisavad selleks, et „etteaimatavuse“ ja „demokraatlikus ühiskonnas vajalikkuse“ tingimused täidetud oleks.
307. Kõigepealt ma juba märkisin, et see presidendi direktiiv ei anna isikutele subjektiivseid õigusi. Teiseks kahtlen ma selles, kas nõue tagada „võimalikult täpselt suunatud“ jälgimine on sõnastatud piisavalt selgelt ja täpselt, et see kaitseks adekvaatselt andmesubjekte kuritarvitamise ohu eest(188). Viimaks ei tulene Privacy Shieldi otsusest, et sõltumatu organ teostaks eelkontrolli EO 12333 alusel toimuva jälgimise üle või et selle üle oleks võimalik kohtuliku järelkontrolli teostamine(189).
308. Neil asjaoludel on minu jaoks küsitav, kas põhjendatud on järeldus, et USA tagab oma luureteenistuste poolt FISA artikli 702 ja EO 12333 alusel tehtavate toimingute tõttu piisava kaitsetaseme vastavalt GDPRi artikli 45 lõikele 1 koosmõjus harta artiklitega 7 ja 8 ning EIÕK artikliga 8.
c) Privacy Shieldi otsuse kehtivus, mis on seotud õigusega tõhusale õiguskaitsevahendile
309. Viienda eelotsuse küsimusega palutakse Euroopa Kohtul kindlaks teha, kas isikutele, kelle andmeid USAsse edastatakse, on tagatud selline õigus kohtulikule kaitsele, mis on sisuliselt samaväärne sellega, mis tuleb tagada liidus vastavalt harta artiklile 47. Kümnenda küsimusega küsib eelotsusetaotluse esitanud kohus Euroopa Kohtult sisuliselt seda, kas andmekaitseraamistikuga Privacy Shield kehtestatud ombudsmani mehhanismi arvesse võttes tuleks viiendale küsimusele vastata jaatavalt.
310. Märgin kõigepealt, et komisjon möönab selle otsuse põhjenduses 115, et isikute õiguste kohtuliku kaitse osas on Ameerika õigussüsteemis lünkasid.
311. Esiteks on selles põhjenduses märgitud, et „vähemalt mõnesid USA luureametkondade kasutatavaid õiguslikke aluseid (nt korraldust EO 12333) need [kohtusse pöördumise võimalused] ei hõlma“. Nimelt ei anna EO 12333 ja PPD 28 andmesubjektidele subjektiivseid õigusi ning viimased ei saa neile kohtutes tugineda. Tõhus kohtulik kaitse eeldab aga vähemalt seda, et isikutel on õigused, millele nad kohtus tugineda saavad.
312. Teiseks, „[i]segi kui kohtuliku kaitse võimalused USA-välistele isikutele on põhimõtteliselt olemas, näiteks FISA alusel toimuva jälgimise puhul, on õiguskaitsevahendite kasutamine piiratud ning […] esitatavaid nõudeid ei võeta menetlusse, kui nad ei suuda tõendada „õigustatud huvi“, mistõttu tavakohtutele juurdepääs on piiratud“.
313. Privacy Shieldi otsuse põhjendustest 116–124 ilmneb, et ombudsmani institutsiooni eesmärk on nende piirangute kompenseerimine. Selle otsuse põhjenduses 139 leiab komisjon, et „seire- ja kaebuste käsitlemise mehhanismid tervikuna […] pakuvad andmesubjektile õiguskaitsevahendeid temaga seotud isikuandmetele juurdepääsu tagamiseks ning lõpuks nimetatud andmete parandamiseks või kustutamiseks“ (kohtujuristi kursiiv).
314. Juhtides tähelepanu Euroopa Kohtu ja EIK praktikast tulenevatele üldistele põhimõtetele, mis puudutavad sõnumite jälgimise toimingute vaidlustamise õigust, uurin, kas sellised Ameerika õiguses ette nähtud kohtuliku kaitse võimalused, nagu on kirjeldatud Privacy Shieldi otsuses, võimaldavad tagada andmesubjektidele piisava kohtuliku kaitse (1. jagu). Seejärel teen kindlaks, kas vajaduse korral võimaldab nende isikute kohtuliku kaitse võimalusi iseloomustavaid puudusi kompenseerida kohtuvälise ombudsmani-mehhanismi loomine (2. jagu).
1) USA õiguses ette nähtud kohtu poole pöördumise õiguse tõhusus
315. Esiteks on harta artikli 47 esimese lõigu kohaselt igaühel, kelle liidu õigusega tagatud õigusi või vabadusi rikutakse, õigus tõhusale õiguskaitsevahendile kohtus(190). Selle artikli teises lõigus on sätestatud, et igaühel on õigus asja arutamisele sõltumatus ja erapooletus kohtus(191). Õigus pöörduda sõltumatu kohtu poole kuulub harta artikliga 47 tagatud õiguse olemuse hulka(192).
316. Kõrvuti igaühe subjektiivse õigusega kohtulikule kaitsele lasub liikmesriikidel harta artiklite 7 ja 8 kohaselt kohustus tagada kõigi jälgimistoimingute üle – välja arvatud nõuetekohaselt põhjendatud kiireloomulistel juhtudel – kohtu või sõltumatu haldusasutuse eelkontroll(193).
317. Mõistagi ei ole õigus tõhusale kohtulikule kaitsele, nagu Saksamaa ja Prantsuse valitsus märgivad, absoluutne(194), ning riigi julgeolekuga seotud põhjustel võib seda piirata. Piirangud on aga lubatavad vaid juhul, kui need ei kahjusta selle õiguse olemust ning kui need on legitiimse eesmärgi saavutamiseks rangelt vajalikud.
318. Kohtuotsuses Schrems on Euroopa Kohus seejuures leidnud, et õigusakt, milles ei ole andmesubjektile ette nähtud mingit võimalust kasutada õiguskaitsevahendeid, et tutvuda teda puudutavate isikuandmetega või lasta neisse parandusi teha või neid kustutada, ei ole harta artiklis 47 sätestatud põhiõiguse olemusega kooskõlas(195).
319. Rõhutan, et see õigus hõlmab isiku võimalust saada, välja arvatud õigustatud huvide realiseerimiseks ette nähtud erandjuhtudel, ametiasutustelt kinnitus selle kohta, kas viimased tema isikuandmeid töötlevad või mitte(196). See on minu meelest andmetega tutvumise õiguse praktiline sisu, kui huvitatud isik ei tea, kas ametiasutused on eelkõige pärast elektroonilise side voogude automatiseeritud filtreerimisprotsessi lõppemist tema isikuandmeid säilitanud.
320. Lisaks tuleneb kohtupraktikast, et põhimõtteliselt on liikmesriikide asutustel kohustus isikuid andmetega tutvumisest teavitada kohe, kui teavitamine ei saa enam läbiviidavat uurimist kahjustada(197). Selline teavitamine on tegelikult harta artiklist 47 tuleneva õiguskaitsevahendi kasutamise õiguse teostamise eeltingimus.(198) Seda kohustust on hiljem korratud ka GDPRi artikli 23 lõike 2 punktis h.
321. Kõiki õiguskaitsevahendeid, mida on isikutel, kelle andmed on edastatud, võimalik kasutada, kui nad kardavad, et Ameerika luureteenistused on neid andmeid pärast nende edastamist töödelnud, on lühidalt kajastatud Privacy Shieldi otsuse põhjendustes 111–135. Samuti on neid õiguskaitsevahendeid kirjeldatud eelotsusetaotlusele lisatud High Courti (kõrge kohus) 3. oktoobri 2017. aasta kohtuotsuses ning eelkõige USA valitsuse seisukohtades.
322. Seal kajastatu üksikasjalik kordamine ei ole vajalik. Nimelt on eelotsusetaotluse esitanud kohus andmesubjektide õiguskaitsega seotud kaitsemeetmete piisavuse kahtluse alla seadnud eelkõige põhjusel, et USA õiguses ette nähtud õiguskaitsevahendite kasutamise muudavad praktikas ülemäära keeruliseks iseäranis ranged kaebeõigust (standing)(199) puudutavad nõuded koosmõjus asjaoluga, et puudub mis tahes kohustus isikuid, kelle suhtes on jälgimistoiminguid tehtud, teavitada ka siis, kui teavitamine eesmärke ei kahjustaks. Neid kahtlusi jagavad DPC, M. Schrems, Austria, Poola ja Portugali valitsus ning Euroopa Andmekaitsenõukogu(200).
323. Juhin tähelepanu üksnes sellele, et kaebeõigust puudutavad normid ei või tõhusate õiguskaitsevahendite kasutamist takistada(201), ning tõden, et Privacy Shieldi otsuses ei ole mainitud ühtki kohustust teavitada andmesubjekte asjaolust, et nende suhtes on jälgimistoiminguid tehtud(202). Kuivõrd see võib takistada kohtu poole pöördumise õiguse teostamist, näib teavitamise kohustuse puudumine ka juhul, kui andmesubjekti teavitamine toimingu tõhusust ei kahjustaks, käesoleva ettepaneku punktis 320 mainitud kohtupraktikat silmas pidades problemaatiline.
324. Privacy Shieldi otsuse 169. joonealuses märkuses on liiati märgitud, et õiguskatsevahendite kasutamine on „võimalik tingimusel, et olemas on kas kahju […] või tõendid selle kohta, et valitsus kavatseb kasutada või avaldada isiku elektroonilise jälgimise käigus kogutud andmeid […] selle isiku vastu“. Nagu eelotsusetaotluse esitanud kohus, DPC ja M. Schrems rõhutasid, eristub see nõue teravalt Euroopa Kohtu praktikast, mille kohaselt ei ole andmesubjekti eraelu puutumatuse riive tuvastamiseks vajalik, et väidetav riive oleks andmesubjektile põhjustanud võimalikke ebameeldivusi(203).
325. Peale selle ei veena mind Facebook Irelandi ja USA valitsuse väljendatud seisukoht, et isikute, kelle andmed USAsse edastatakse, kohtulikku kaitset iseloomustavaid vajakajäämisi kompenseerivad FISC poolt teostatavad eel- ja järelkontrollid ning mitu täidesaatva ja seadusandliku võimuharu piires(204) kehtestatud järelevalvemehhanismi.
326. Märkisin juba, et Privacy Shieldi otsuses tuvastatu kohaselt ei teosta FISC esiteks jälgimistoimingute üle kontrolli enne nende tegemist(205). Teiseks, nagu selle otsuse põhjenduses 109 märgitud on ning nagu kinnitab Euroopa Kohtu esitatud küsimustele antud kirjalikus vastuses USA valitsus, on pärast identimistunnustele vastavate sõnumitega seotud jälgimistoimingute tegemist teostatava kontrolli eesmärk kontrollida iga-aastases loas ette nähtud identimistunnuste valiku tingimustest kinni pidamist juhul, kui luureteenistus on FISC-le teatanud suunamis- ja minimeerimismenetluse võimaliku rikkumise juhtumist(206). FISCs toimuv menetlus ei näi mulle seega pakkuvat tõhusat isiklikku õiguskaitsevahendit isikutele, kelle andmed on USAsse edastatud.
327. Kuigi Privacy Shieldi otsuse põhjendustes 95–110 mainitud kohtuvälised kontrollimehhanismid võiksid võimalikke kohtu poole pöördumise võimalusi toetada, ei piisa neist minu meelest selleks, et tagada andmesubjektidele piisaval tasemel õigus õiguskaitsevahendile. Eelkõige ei ole iga agentuuri sisemisse struktuuri kuuluvate üldinspektorite tegevuse näol minu arvates tegu sõltumatu kontrollimehhanismiga. PCLOB ning kongressi julgeolekukomisjonide teostatav järelevalve ei ole võrdsustatavad üksikisikute poolt jälgimistoimingute suhtes kasutatavate õiguskaitsemehhanismidega.
328. Seega tuleb uurida, kas ombudsmani institutsioon kompenseerib need puudused ning annab andmesubjektidele tõhusa õiguskaitsevahendi sõltumatus ja erapooletus organis(207).
329. Teiseks juhin tähelepanu sellele, et hindamaks Privacy Shieldi otsuses kaitse piisavuse kohta tuvastatu põhjendatust seoses nende õiguskaitsevahenditega, mis on kättesaadavad isikutele, kes arvavad, et neid on jälgitud EO 12333 alusel, on kohaseks võrdlusaluseks EIÕK sätted.
330. Nagu enne märgitud(208), uurib EIK, hindamaks, kas jälgimistoiming on kooskõlas etteaimatavuse ja demokraatlikus ühiskonnas vajalikkuse tingimustega EIÕK artikli 8 lõike 2 tähenduses(209), kõiki „enne selle toimingu tegemist, selle tegemise ajal ja pärast seda“ rakendatavaid kontrolli- ja järelevalvemehhanisme. Kui üksikisiku õiguskaitsevahendi kasutamist takistab asjaolu, et jälgimistoimingust teavitamine ei ole selle toimingu tõhusust kahjustamata võimalik(210), võib seda puudust tasakaalustada enne kõnealuse toimingu tegemist teostatav sõltumatu kontroll(211). Kuigi EIK peab sellist teavitamist „soovitatavaks“, kui seda on võimalik teha ilma jälgimistoimingu tõhusust kahjustamata, ei ole ta seda siiski nõudena esitanud(212).
331. Selle tõttu ei nähtu Privacy Shieldi otsusest, et andmesubjekte EO 12333 alusel tehtavatest jälgimistoimingutest teavitataks või et nendega kaasneks mõni sõltumatu kohtuliku või halduskontrolli mehhanism nende toimingute tegemise üle otsustamise või nende tegemise mis tahes etapis.
332. Neil asjaoludel tuleb uurida, kas ombudsmani poole pöördumine võimaldab siiski tagada jälgimistoimingute, sealhulgas EO 12333 alusel tehtavate jälgimistoimingute üle sõltumatu kontrolli.
2) Ombudsmani mehhanismi mõju tõhusa õiguskaitsevahendi õiguse kaitse tasemele
333. Privacy Shieldi otsuse põhjenduses 116 on märgitud, et III A lisas kirjeldatud ombudsmani mehhanismi eesmärk on anda täiendavad õiguskaitsevahendid kõigile isikutele, kelle andmeid liidust USAsse edastatakse.
334. Nagu ka USA valitsus rõhutab, ei reguleeri ombudsmanile esitatud kaebuse vastuvõetavust sellised kaebeõigust puudutavad normid, mis sarnaneksid nendega, mis reguleerivad Ameerika kohtutesse pöördumise õigust. Kõnealuse otsuse põhjenduses 119 on sel puhul täpsustatud, et ombudsmani poole pöördumine ei eelda, et huvitatud isik tõendaks, et USA valitsus on tema andmetega tutvunud.
335. DPC, M. Schremsi ning Poola ja Portugali valitsuse ja EPIC eeskujul kahtlen selles, kas see mehhanism suudab kompenseerida isikutele, kelle andmeid liidust USAsse edastatakse, pakutava kohtuliku kaitse puudusi.
336. Kõigepealt, kuigi kohtuväline kaebevõimalus võib olla käsitatav tõhusa õiguskaitsevahendina harta artikli 47 tähenduses, on see nõnda vaid eelkõige juhul, kui kõnealune organ on loodud seadusega ning vastab sõltumatuse tingimusele(213).
337. Privacy Shieldi otsusest tuleneb aga, et ombudsmani mehhanism, mille allikaks on PPD 28(214), ei ole loodud seadusega. Ombudsmani nimetab ametisse riigisekretär ja ta kuulub USA riigidepartemangu koosseisu(215). See otsus ei sisalda ühtki viidet sellele, et ombudsmani tagandamise või tema ametisse nimetamise otsuse tühistamisega kaasneks erilisi kaitsemeetmeid(216). Kuigi ombudsmani esitletakse „julgeolekuametkondadest“ sõltumatuna, on ta aruandekohustuslik riigisekretäri ees ning pole seega täitevvõimust sõltumatu(217).
338. Teiseks sõltub kohtuvälise kaebevõimaluse tõhusus minu meelest sellest, kas asjaomane asutus saab teha siduvaid ja põhjendatud otsuseid. Sellega seoses ei sisaldu Privacy Shieldi otsuses ühtki viidet sellele, et ombudsman selliseid otsuseid teeks. Seal ei ole tuvastatud, et ombudsmani institutsioon võimaldaks kaebajatel tutvuda oma andmetega ja lasta neid parandada või need kustutada, ega ka seda, et ombudsman otsustaks jälgimistoimingu tõttu kahju kannatanud isikule kahju hüvitamise. Nagu tuleneb ka selle otsuse III A lisa punkti 4 alapunktist e, siis eelkõige „ombudsman ei kinnita ega eita, et üksikisik on olnud jälgimise objekt, samuti ei kinnita andmekaitseraamistiku Privacy Shield ombudsman, millist konkreetset õiguskaitsevahendit kohaldati“(218). Kuigi Ameerika valitsus on lubanud, et asjaomane üksus peab ombudsmani poolt tuvastatud normide mis tahes rikkumise parandama, ei ole selles otsuses tuvastatud ühtki selle lubadusega kaasnevat seadusest tulenevat kaitsemeedet, millele asjaomased üksikisikud tugineda saaksid(219).
339. Seetõttu ei ole ombudsmani institutsiooni näol minu meelest tegu õiguskaitsevahendiga sõltumatus organis, mis annaks isikutele, kelle andmeid edastatakse, võimaluse kaitsta oma õigust andmetega tutvuda või vaidlustada kohaldatavate normide võimalikke rikkumisi luureteenistuste poolt.
340. Viimaks eeldab harta artikliga 47 tagatud õiguse järgimine kohtupraktika kohaselt seda, et niisuguse haldusasutuse otsust, kes ei vasta sõltumatuse ja erapooletuse nõudele, saaks hiljem kontrollida kohus, kes peab olema muu hulgas pädev lahendama kõiki asjasse puutuvaid küsimusi(220). Privacy Shieldi otsuses esitatud teabe kohaselt aga ombudsmani otsused sõltumatule kohtulikule kontrollile ei allu.
341. Neil asjaoludel tuleb väitesse, et õiguskaitse, mis on USA õiguskorras tagatud isikutele, kelle andmeid liidust sinna edastatakse, on sisuliselt samaväärne sellega, mis tuleneb GDPRist koosmõjus harta artikliga 47 ning EIÕK artikliga 8, minu meelest suhtuda reservatsioonidega, nagu leiavad ka DPC, M. Schrems, EPIC ning Poola ja Portugali valitsus.
342. Kõiki eeltoodud põhjendusi silmas pidades kahtlen, kas Privacy Shieldi otsus on kooskõlas GDPRi artikli 45 lõikega 1 koosmõjus harta artiklitega 7, 8 ja 47 ning EIÕK artikliga 8.
V. Ettepanek
343. Teen Euroopa Kohtule ettepaneku vastata High Courti (kõrge kohus, Iirimaa) eelotsuse küsimustele järgmiselt:
Eelotsuse küsimusi analüüsides ei ilmnenud asjaolusid, mis mõjutaksid komisjoni 5. veebruari 2010. aasta otsuse 2010/87/EL kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ alusel, mida on muudetud komisjoni 16. detsembri 2016. aasta rakendusotsusega (EL) 2016/2297, kehtivust.